CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-28501

Critical
Published: Translated: NVD NIST

Summary

AVideo to otwartoźródłowa platforma wideo, która przed wersją 24.0 zawierała podatność na SQL Injection w komponentach objects/videos.json.php oraz objects/video.php. Problem wynika z niewłaściwego oczyszczania parametru catName w przypadku, gdy jest on dostarczany w formacie JSON w ciele żądania POST.

Risk Assessment

Podatność ta pozwala na wykonanie nieautoryzowanych zapytań SQL, co może prowadzić do ujawnienia danych lub kompromitacji systemu. Organizacje korzystające z AVideo przed wersją 24.0 są narażone na poważne ryzyko bezpieczeństwa.

Recommendation

Zaleca się aktualizację AVideo do wersji 24.0 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania innych potencjalnych zagrożeń.

Original NVD description (English source)

WWBN AVideo is an open source video platform. Prior to version 24.0, an unauthenticated SQL Injection vulnerability exists in AVideo within the objects/videos.json.php and objects/video.php components. The application fails to properly sanitize the catName parameter when it is supplied via a JSON-formatted POST request body. Because JSON input is parsed and merged into $_REQUEST after global security checks are executed, the payload bypasses the existing sanitization mechanisms. This issue has been patched in version 24.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS