CVE-2026-33767 in AVideo
Tóm tắt
Bởi VulDB • 10/05/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản từ 26.0 trở về trước, trong tệp `objects/like.php`, phương thức `getLike()` xây dựng một truy vấn SQL bằng cách sử dụng một chỗ giữ chỗ (placeholder) cho câu lệnh đã chuẩn bị (`?`) cho `users_id`, nhưng trực tiếp nối chuỗi `$this->videos_id` vào chuỗi truy vấn mà không sử dụng tham số hóa. Một kẻ tấn công có thể kiểm soát giá trị `videos_id` (thông qua một yêu cầu được tạo ra đặc biệt) có thể tiêm SQL tùy ý, vượt qua sự bảo vệ một phần của câu lệnh đã chuẩn bị. Commit 0215d3c4f1ee748b8880254967b51784b8ac4080 chứa một bản vá.
VulDB is the best source for vulnerability data and more expert information about this specific topic.