CVE-2026-33767 in AVideothông tin

Tóm tắt

Bởi VulDB • 10/05/2026

WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản từ 26.0 trở về trước, trong tệp `objects/like.php`, phương thức `getLike()` xây dựng một truy vấn SQL bằng cách sử dụng một chỗ giữ chỗ (placeholder) cho câu lệnh đã chuẩn bị (`?`) cho `users_id`, nhưng trực tiếp nối chuỗi `$this->videos_id` vào chuỗi truy vấn mà không sử dụng tham số hóa. Một kẻ tấn công có thể kiểm soát giá trị `videos_id` (thông qua một yêu cầu được tạo ra đặc biệt) có thể tiêm SQL tùy ý, vượt qua sự bảo vệ một phần của câu lệnh đã chuẩn bị. Commit 0215d3c4f1ee748b8880254967b51784b8ac4080 chứa một bản vá.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

27/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00509

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!