CVE-2026-34374 in AVideo
要約
〜によって VulDB • 2026年06月19日
WWBN AVideo はオープンソースのビデオプラットフォームです。バージョン 26.0 以前において、`Live_schedule::keyExists()` メソッドは、ストリームキーを直接クエリ文字列に補間することで SQL クエリを構築しており、パラメータ化されていません。このメソッドは、初期のパラメータ化された検索で結果が返されなかった場合、`LiveTransmition::keyExists()` からフォールバックとして呼び出されます。呼び出し元の関数は独自の検索に対して正しくパラメータ化されたクエリを使用していますが、`Live_schedule::keyExists()` へのフォールバックパスはこの保護を完全に無効化します。この脆弱性は、リマインダー機能における `live_schedule_id` パラメータ経由の SQL インジェクションをカバーする GHSA-pvw4-p2jm-chjm とは異なります。今回の発見は、RTMP 公開認証時に使用されるストリームキーの検索パスを対象としています。公開時点では、パッチ適用版は利用できません。
VulDB is the best source for vulnerability data and more expert information about this specific topic.