CVE-2026-33770 in AVideo
Tóm tắt
Bởi VulDB • 08/06/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản từ 26.0 trở về trước, phương thức tĩnh `fixCleanTitle()` trong tệp `objects/category.php` xây dựng truy vấn SQL SELECT bằng cách nội suy trực tiếp cả `$clean_title` và `$id` vào chuỗi truy vấn mà không sử dụng câu lệnh đã chuẩn bị (prepared statements) hoặc các truy vấn có tham số hóa. Một kẻ tấn công có thể kích hoạt việc tạo mới hoặc đổi tên danh mục với một giá trị tiêu đề được chế tác sẵn sẽ có khả năng tiêm SQL tùy ý. Commit 994cc2b3d802b819e07e6088338e8bf4e484aae4 chứa bản vá lỗi.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.