CVE-2026-33767 in AVideoinformazioni

Riassunto

di VulDB • 17/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, nel file `objects/like.php`, il metodo `getLike()` costruisce una query SQL utilizzando un segnaposto per prepared statement (`?`) per `users_id`, ma concatena direttamente `$this->videos_id` nella stringa della query senza parametrizzazione. Un attaccante in grado di controllare il valore `videos_id` (tramite una richiesta appositamente creata) può iniettare codice SQL arbitrario, aggirando la protezione parziale offerta dai prepared statement. Il commit 0215d3c4f1ee748b8880254967b51784b8ac4080 contiene una patch di correzione.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00509

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!