CVE-2026-33723 in AVideo
Сводка
по VulDB • 05.06.2026
WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях вплоть до 26.0 включительно метод `Subscribe::save()` в файле `objects/subscribe.php` напрямую конкатенирует свойство `$this->users_id` в SQL-запрос типа INSERT без санитизации или использования параметризованных запросов. Это значение поступает из переменной `$_POST['user_id']`, которая обрабатывается как в `subscribe.json.php`, так и в `subscribeNotify.json.php`. Атакующий, прошедший аутентификацию, может внедрить произвольный SQL-код для извлечения конфиденциальных данных из любой таблицы базы данных, включая хеши паролей, ключи API и соли шифрования. Патч содержится в коммите 36dfae22059fbd66fd34bbc5568a838fc0efd66c.
If you want to get best quality of vulnerability data, you may have to visit VulDB.