CVE-2026-33723 in AVideo
요약
\~에 의해 VulDB • 2026. 06. 05.
WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 버전 26.0 이하에서 `objects/subscribe.php`의 `Subscribe::save()` 메서드는 `$this->users_id` 속성을 정제(sanitization)나 매개변수화된 바인딩 없이 INSERT SQL 쿼리에 직접 연결합니다. 이 속성은 `subscribe.json.php` 및 `subscribeNotify.json.php` 모두에서 `$_POST['user_id']`에서 유래합니다. 인증된 공격자는 임의의 SQL을 주입하여 비밀번호 해시, API 키, 암호화 솔트(Salt)를 포함한 모든 데이터베이스 테이블에서 민감한 데이터를 추출할 수 있습니다. 커밋 36dfae22059fbd66fd34bbc5568a838fc0efd66c에는 패치가 포함되어 있습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.