Katalog CVE

CVE-2026-33352

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

WWBN AVideo to otwarta platforma wideo. Przed wersją 26.0 występuje podatność na nieautoryzowaną injekcję SQL w pliku `objects/category.php` w metodzie `getAllCategories()`, gdzie parametr `doNotShowCats` jest niewłaściwie sanitizowany.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania nieautoryzowanych zapytań SQL, co może prowadzić do ujawnienia danych lub kompromitacji systemu. Organizacje powinny być świadome ryzyka związanego z nieaktualnymi wersjami oprogramowania.

Rekomendacja

Zaleca się aktualizację do wersji 26.0 lub nowszej, która zawiera poprawkę dla tej podatności. Dodatkowo, warto przeprowadzić audyt zabezpieczeń aplikacji, aby zminimalizować ryzyko podobnych luk.

Oryginalny opis (angielski, źródło NVD)

WWBN AVideo is an open source video platform. Prior to version 26.0, an unauthenticated SQL injection vulnerability exists in `objects/category.php` in the `getAllCategories()` method. The `doNotShowCats` request parameter is sanitized only by stripping single-quote characters (`str_replace("'", '', ...)`), but this is trivially bypassed using a backslash escape technique to shift SQL string boundaries. The parameter is not covered by any of the application's global input filters in `objects/security.php`. Version 26.0 contains a patch for the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS