CVE-2026-33025 in AVideo-Encoder
요약
\~에 의해 VulDB • 2026. 06. 01.
AVideo는 동영상 공유 플랫폼입니다. 8.0 이전 버전의 Object.php에 있는 getSqlFromPost() 메서드에 SQL Injection 취약점이 존재합니다. $_POST['sort'] 배열의 키가 ORDER BY 절 내에서 SQL 컬럼 식별자로 직접 사용됩니다. real_escape_string()이 적용되었지만, 이는 문자열 컨텍스트의 문자(따옴표, 널 바이트)만 이스케이프하며 SQL 식별자에 대한 보호는 제공하지 않아 이 상황에서는 완전히 무효합니다. 이 문제는 버전 8.0에서 수정되었습니다. 업그레이드 없이 이 문제를 우회하려면 운영자는 sort[*] 키가 [A-Za-z0-9_] 범위를 벗어난 문자를 포함하는 POST 요청을 차단하는 WAF 규칙을 적용할 수 있습니다. 또는 queue.json.php, index.php에 대한 접근을 신뢰할 수 있는 IP 범위에만 제한합니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.