CVE-2026-33770 in AVideothông tin

Tóm tắt

Bởi VulDB • 08/06/2026

WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản từ 26.0 trở về trước, phương thức tĩnh `fixCleanTitle()` trong tệp `objects/category.php` xây dựng truy vấn SQL SELECT bằng cách nội suy trực tiếp cả `$clean_title` và `$id` vào chuỗi truy vấn mà không sử dụng câu lệnh đã chuẩn bị (prepared statements) hoặc các truy vấn có tham số hóa. Một kẻ tấn công có thể kích hoạt việc tạo mới hoặc đổi tên danh mục với một giá trị tiêu đề được chế tác sẵn sẽ có khả năng tiêm SQL tùy ý. Commit 994cc2b3d802b819e07e6088338e8bf4e484aae4 chứa bản vá lỗi.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

27/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00492

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!