CVE-2026-33723 in AVideoИнформация

Сводка

по VulDB • 05.06.2026

WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях вплоть до 26.0 включительно метод `Subscribe::save()` в файле `objects/subscribe.php` напрямую конкатенирует свойство `$this->users_id` в SQL-запрос типа INSERT без санитизации или использования параметризованных запросов. Это значение поступает из переменной `$_POST['user_id']`, которая обрабатывается как в `subscribe.json.php`, так и в `subscribeNotify.json.php`. Атакующий, прошедший аутентификацию, может внедрить произвольный SQL-код для извлечения конфиденциальных данных из любой таблицы базы данных, включая хеши паролей, ключи API и соли шифрования. Патч содержится в коммите 36dfae22059fbd66fd34bbc5568a838fc0efd66c.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

23.03.2026

Модерация

принято

Вход

VDB-352569

EPSS

0.00224

KEV

Нет

Деятельности

Очень низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!