ClipBucket v5 w wersjach 5.5.2-#187 i wcześniejszych zawiera podatność typu Blind SQL Injection w mechanizmie dodawania komentarzy do kanału. Brak walidacji danych wejściowych pozwala nieuwierzytelnionemu atakującemu na manipulację zapytaniami bazodanowymi i ekstrakcję wrażliwych danych.
▸ Pokaż oryginał (EN)
ClipBucket v5 is an open source video sharing platform. Versions 5.5.2-#187 and below allow an attacker to perform Blind SQL Injection through the add comment section within a channel. When adding a comment within a channel, there is a POST request to the /actions/ajax.php endpoint. The obj_id parameter within the POST request to /actions/ajax.php is then used within the user_exists function of the upload/includes/classes/user.class. php file as the $id parameter. It is then used within the count function of the upload/includes/classes/db.class. php file. The $id parameter is concatenated into the query without validation or sanitization, and a user-supplied input like 1' or 1=1-- - can be used to trigger the injection. This issue does not have a fix at the time of publication.
Podczas dodawania komentarza w kanale aplikacja wysyła żądanie POST do endpointu /actions/ajax.php. Parametr obj_id z tego żądania jest przekazywany bezpośrednio do funkcji user_exists w pliku upload/includes/classes/user.class.php jako zmienna $id, a następnie do funkcji count w pliku upload/includes/classes/db.class.php. Parametr $id jest konkatenowany bezpośrednio do zapytania SQL bez żadnej walidacji ani sanityzacji wejścia. Atakujący może dostarczyć payload w stylu '1' or 1=1-- -', co wywołuje wstrzyknięcie w trybie ślepym (Blind SQL Injection), umożliwiając odczyt danych z bazy przez analizę zachowania aplikacji.
Nieuwierzytelniony atakujący zdalnie może uzyskać nieuprawniony dostęp do zawartości bazy danych, w tym danych użytkowników, haseł i innych poufnych informacji, a potencjalnie również zmodyfikować lub usunąć dane aplikacji.
W chwili publikacji podatność nie posiadała dostępnej poprawki. Należy śledzić repozytorium projektu pod adresem https://github.com/MacWarrior/clipbucket-v5 i zastosować patch niezwłocznie po jego udostępnieniu. Do czasu wydania poprawki zaleca się ograniczenie dostępu do endpointu /actions/ajax.php (np. przez firewall aplikacyjny WAF) oraz rozważenie tymczasowego wyłączenia funkcji komentowania w kanałach.
ClipBucket v5 w wersjach 5.5.2-#187 i niższych (platforma open source do udostępniania wideo).
Zgodnie z opisem producenta w momencie publikacji CVE (2026-01-08) nie istnieje żadna oficjalna poprawka dla tej podatności. Podatność została ujawniona w ramach GitHub Security Advisory GHSA-crpv-fmc4-j392.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOxygenz Clipbucket
APPOxygenz5.3 – 5.5.2-191 (bez)
Powiązane podatności
TOCTOU Race Condition w ClipBucket umożliwia wykonanie kodu PHP
ClipBucket 5.5.2 — hardcoded domyślne dane logowania w panelu admina
ClipBucket V5 — nieograniczony upload plików PHP przez funkcję playlist
PHP Deserialization w ClipBucket V5 — zdalne wykonanie kodu
PHP Deserialization w ClipBucket V5 umożliwia zdalne wykonanie kodu