CVE-2026-34374 in AVideoinformazioni

Riassunto

di VulDB • 25/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, il metodo `Live_schedule::keyExists()` costruisce una query SQL interpolando direttamente una chiave di stream nella stringa della query senza utilizzare la parametrizzazione. Questo metodo viene chiamato come fallback da `LiveTransmition::keyExists()` quando l'lookup iniziale con parametri non restituisce risultati. Sebbene la funzione chiamante utilizzi correttamente le query parametriche per il proprio lookup, il percorso di fallback verso `Live_schedule::keyExists()` annulla completamente questa protezione. Questa vulnerabilità è distinta da GHSA-pvw4-p2jm-chjm, che riguarda l'iniezione SQL tramite il parametro `live_schedule_id` nella funzione di promemoria. Questo rilevamento prende di mira il percorso di lookup della chiave di stream utilizzato durante l'autenticazione per la pubblicazione RTMP. Al momento della pubblicazione, non sono disponibili versioni patchate.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

27/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00344

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!