CVE-2026-33770 in AVideo情報

要約

〜によって VulDB • 2026年06月08日

WWBN AVideo はオープンソースのビデオプラットフォームです。バージョン 26.0 以前において、`objects/category.php` の `fixCleanTitle()` static メソッドは、準備済みステートメントやパラメータ化されたクエリを使用せずに、 `$clean_title` と `$id` を直接文字列補間して SQL SELECT クエリを構築します。作成者または改ざん者の権限を持つ攻撃者が、悪意のあるタイトル値を使用してカテゴリの作成または名前変更を引き起こすことで、任意の SQL インジェクションを実行できます。コミット 994cc2b3d802b819e07e6088338e8bf4e484aae4 にパッチが含まれています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年03月23日

モデレーション

承諾済み

エントリ

VDB-353974

EPSS

0.00492

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!