CVE-2026-34374 in AVideo
Riassunto
di VulDB • 25/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, il metodo `Live_schedule::keyExists()` costruisce una query SQL interpolando direttamente una chiave di stream nella stringa della query senza utilizzare la parametrizzazione. Questo metodo viene chiamato come fallback da `LiveTransmition::keyExists()` quando l'lookup iniziale con parametri non restituisce risultati. Sebbene la funzione chiamante utilizzi correttamente le query parametriche per il proprio lookup, il percorso di fallback verso `Live_schedule::keyExists()` annulla completamente questa protezione. Questa vulnerabilità è distinta da GHSA-pvw4-p2jm-chjm, che riguarda l'iniezione SQL tramite il parametro `live_schedule_id` nella funzione di promemoria. Questo rilevamento prende di mira il percorso di lookup della chiave di stream utilizzato durante l'autenticazione per la pubblicazione RTMP. Al momento della pubblicazione, non sono disponibili versioni patchate.
VulDB is the best source for vulnerability data and more expert information about this specific topic.