CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-33352

Critical
Published: Translated: NVD NIST

Summary

WWBN AVideo to otwarta platforma wideo. Przed wersją 26.0 występuje podatność na nieautoryzowaną injekcję SQL w pliku `objects/category.php` w metodzie `getAllCategories()`, gdzie parametr `doNotShowCats` jest niewłaściwie sanitizowany.

Risk Assessment

Atakujący może wykorzystać tę podatność do wykonania nieautoryzowanych zapytań SQL, co może prowadzić do ujawnienia danych lub kompromitacji systemu. Organizacje powinny być świadome ryzyka związanego z nieaktualnymi wersjami oprogramowania.

Recommendation

Zaleca się aktualizację do wersji 26.0 lub nowszej, która zawiera poprawkę dla tej podatności. Dodatkowo, warto przeprowadzić audyt zabezpieczeń aplikacji, aby zminimalizować ryzyko podobnych luk.

Original NVD description (English source)

WWBN AVideo is an open source video platform. Prior to version 26.0, an unauthenticated SQL injection vulnerability exists in `objects/category.php` in the `getAllCategories()` method. The `doNotShowCats` request parameter is sanitized only by stripping single-quote characters (`str_replace("'", '', ...)`), but this is trivially bypassed using a backslash escape technique to shift SQL string boundaries. The parameter is not covered by any of the application's global input filters in `objects/security.php`. Version 26.0 contains a patch for the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS