CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-33770

Critical
Published: Translated: NVD NIST

Summary

WWBN AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0 w metodzie `fixCleanTitle()` w pliku `objects/category.php` zapytanie SQL SELECT jest konstruowane poprzez bezpośrednie interpolowanie zmiennych `$clean_title` i `$id`, co umożliwia atakującemu wstrzyknięcie dowolnego SQL, jeśli ma możliwość wywołania tworzenia lub zmiany nazwy kategorii.

Risk Assessment

Podatność ta może prowadzić do poważnych naruszeń bezpieczeństwa, w tym do nieautoryzowanego dostępu do bazy danych i manipulacji danymi. Atakujący może wykorzystać tę lukę do wykonania dowolnych poleceń SQL.

Recommendation

Zaleca się aktualizację do wersji 26.1 lub nowszej, w której wprowadzono poprawkę. Dodatkowo, należy stosować przygotowane zapytania lub parametryzowane zapytania w celu zabezpieczenia przed wstrzyknięciami SQL.

Original NVD description (English source)

WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `fixCleanTitle()` static method in `objects/category.php` constructs a SQL SELECT query by directly interpolating both `$clean_title` and `$id` into the query string without using prepared statements or parameterized queries. An attacker who can trigger category creation or renaming with a crafted title value can inject arbitrary SQL. Commit 994cc2b3d802b819e07e6088338e8bf4e484aae4 contains a patch.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS