CVE-2026-33352
KrytyczneStreszczenie
WWBN AVideo to otwarta platforma wideo. Przed wersją 26.0 występuje podatność na nieautoryzowaną injekcję SQL w pliku `objects/category.php` w metodzie `getAllCategories()`, gdzie parametr `doNotShowCats` jest niewłaściwie sanitizowany.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wykonania nieautoryzowanych zapytań SQL, co może prowadzić do ujawnienia danych lub kompromitacji systemu. Organizacje powinny być świadome ryzyka związanego z nieaktualnymi wersjami oprogramowania.
Rekomendacja
Zaleca się aktualizację do wersji 26.0 lub nowszej, która zawiera poprawkę dla tej podatności. Dodatkowo, warto przeprowadzić audyt zabezpieczeń aplikacji, aby zminimalizować ryzyko podobnych luk.
Oryginalny opis (angielski, źródło NVD)
WWBN AVideo is an open source video platform. Prior to version 26.0, an unauthenticated SQL injection vulnerability exists in `objects/category.php` in the `getAllCategories()` method. The `doNotShowCats` request parameter is sanitized only by stripping single-quote characters (`str_replace("'", '', ...)`), but this is trivially bypassed using a backslash escape technique to shift SQL string boundaries. The parameter is not covered by any of the application's global input filters in `objects/security.php`. Version 26.0 contains a patch for the issue.

