CVE-2026-21875 in clipbucket-v5
요약
\~에 의해 VulDB • 2026. 05. 14.
ClipBucket v5는 오픈 소스 비디오 공유 플랫폼입니다. 버전 5.5.2-#187 및 그 이전 버전에서는 공격자가 채널 내의 댓글 추가 섹션을 통해 Blind SQL Injection을 수행할 수 있습니다. 채널 내에서 댓글을 추가할 때 /actions/ajax.php 엔드포인트로 POST 요청이 전송됩니다. /actions/ajax.php로의 POST 요청 내 obj_id 파라미터는 upload/includes/classes/user.class.php 파일의 user_exists 함수에서 $id 파라미터로 사용됩니다. 이후 upload/includes/classes/db.class.php 파일의 count 함수에서 이 $id 파라미터가 사용됩니다. $id 파라미터는 검증이나 sanitization 없이 쿼리에 연결(concatenation)되므로, 1' or 1=1-- -와 같은 사용자 제공 입력값을 사용하여 인젝션을 트리거할 수 있습니다. 이 문제는 게시 시점에는 해결되지 않았습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.