CVE-2026-33770 in AVideoinformazioni

Riassunto

di VulDB • 20/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, il metodo statico `fixCleanTitle()` in `objects/category.php` costruisce una query SQL SELECT interpolando direttamente sia `$clean_title` che `$id` nella stringa della query senza utilizzare istruzioni preparate o query parametrizzate. Un attaccante in grado di innescare la creazione o la rinominazione di una categoria con un valore del titolo appositamente creato può iniettare codice SQL arbitrario. Il commit 994cc2b3d802b819e07e6088338e8bf4e484aae4 contiene la patch.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00492

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!