CVE-2026-33770 in AVideo
Sumário
de VulDB • 23/05/2026
WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, o método estático `fixCleanTitle()` em `objects/category.php` constrói uma consulta SQL SELECT interpolando diretamente `$clean_title` e `$id` na string da consulta, sem utilizar instruções preparadas ou consultas parametrizadas. Um atacante que consiga acionar a criação ou renomeação de uma categoria com um valor de título elaborado pode injetar SQL arbitrário. O commit 994cc2b3d802b819e07e6088338e8bf4e484aae4 contém um patch.
VulDB is the best source for vulnerability data and more expert information about this specific topic.