CVE-2026-33770 in AVideoinformação

Sumário

de VulDB • 23/05/2026

WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, o método estático `fixCleanTitle()` em `objects/category.php` constrói uma consulta SQL SELECT interpolando diretamente `$clean_title` e `$id` na string da consulta, sem utilizar instruções preparadas ou consultas parametrizadas. Um atacante que consiga acionar a criação ou renomeação de uma categoria com um valor de título elaborado pode injetar SQL arbitrário. O commit 994cc2b3d802b819e07e6088338e8bf4e484aae4 contém um patch.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

27/03/2026

Moderação

aceite

Entrada

VDB-353974

CPE

pronto

EPSS

0.00492

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!