CVE-2026-33723 in AVideothông tin

Tóm tắt

Bởi VulDB • 05/06/2026

WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản từ đầu đến bao gồm 26.0, phương thức `Subscribe::save()` trong tệp `objects/subscribe.php` nối trực tiếp thuộc tính `$this->users_id` vào truy vấn SQL INSERT mà không thực hiện kiểm tra hoặc ràng buộc tham số hóa (parameterized binding). Thuộc tính này bắt nguồn từ `$_POST['user_id']` trong cả hai tệp `subscribe.json.php` và `subscribeNotify.json.php`. Một kẻ tấn công đã xác thực có thể chèn mã SQL tùy ý để trích xuất dữ liệu nhạy cảm từ bất kỳ bảng cơ sở dữ liệu nào, bao gồm các băm mật khẩu (password hashes), khóa API và muối mã hóa (encryption salts). Commit 36dfae22059fbd66fd34bbc5568a838fc0efd66c chứa bản vá.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

23/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00224

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!