Katalog CVE

CVE-2026-33770

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

WWBN AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0 w metodzie `fixCleanTitle()` w pliku `objects/category.php` zapytanie SQL SELECT jest konstruowane poprzez bezpośrednie interpolowanie zmiennych `$clean_title` i `$id`, co umożliwia atakującemu wstrzyknięcie dowolnego SQL, jeśli ma możliwość wywołania tworzenia lub zmiany nazwy kategorii.

Ocena ryzyka

Podatność ta może prowadzić do poważnych naruszeń bezpieczeństwa, w tym do nieautoryzowanego dostępu do bazy danych i manipulacji danymi. Atakujący może wykorzystać tę lukę do wykonania dowolnych poleceń SQL.

Rekomendacja

Zaleca się aktualizację do wersji 26.1 lub nowszej, w której wprowadzono poprawkę. Dodatkowo, należy stosować przygotowane zapytania lub parametryzowane zapytania w celu zabezpieczenia przed wstrzyknięciami SQL.

Oryginalny opis (angielski, źródło NVD)

WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `fixCleanTitle()` static method in `objects/category.php` constructs a SQL SELECT query by directly interpolating both `$clean_title` and `$id` into the query string without using prepared statements or parameterized queries. An attacker who can trigger category creation or renaming with a crafted title value can inject arbitrary SQL. Commit 994cc2b3d802b819e07e6088338e8bf4e484aae4 contains a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS