CVE-2026-28501
CriticalSummary
AVideo to otwartoźródłowa platforma wideo, która przed wersją 24.0 zawierała podatność na SQL Injection w komponentach objects/videos.json.php oraz objects/video.php. Problem wynika z niewłaściwego oczyszczania parametru catName w przypadku, gdy jest on dostarczany w formacie JSON w ciele żądania POST.
Risk Assessment
Podatność ta pozwala na wykonanie nieautoryzowanych zapytań SQL, co może prowadzić do ujawnienia danych lub kompromitacji systemu. Organizacje korzystające z AVideo przed wersją 24.0 są narażone na poważne ryzyko bezpieczeństwa.
Recommendation
Zaleca się aktualizację AVideo do wersji 24.0 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania innych potencjalnych zagrożeń.
Original NVD description (English source)
WWBN AVideo is an open source video platform. Prior to version 24.0, an unauthenticated SQL Injection vulnerability exists in AVideo within the objects/videos.json.php and objects/video.php components. The application fails to properly sanitize the catName parameter when it is supplied via a JSON-formatted POST request body. Because JSON input is parsed and merged into $_REQUEST after global security checks are executed, the payload bypasses the existing sanitization mechanisms. This issue has been patched in version 24.0.

