WWBN AVideo w wersjach przed 26.0 zawiera krytyczną podatność SQL injection dostępną bez uwierzytelnienia w pliku `objects/category.php`. Atakujący może przejąć kontrolę nad bazą danych aplikacji bez konieczności posiadania jakiegokolwiek konta.
▸ Pokaż oryginał (EN)
WWBN AVideo is an open source video platform. Prior to version 26.0, an unauthenticated SQL injection vulnerability exists in `objects/category.php` in the `getAllCategories()` method. The `doNotShowCats` request parameter is sanitized only by stripping single-quote characters (`str_replace("'", '', ...)`), but this is trivially bypassed using a backslash escape technique to shift SQL string boundaries. The parameter is not covered by any of the application's global input filters in `objects/security.php`. Version 26.0 contains a patch for the issue.
Metoda `getAllCategories()` w pliku `objects/category.php` przyjmuje parametr żądania `doNotShowCats` i oczyszcza go wyłącznie przez usunięcie znaków pojedynczego cudzysłowu (`str_replace("'", '', ...)`). Zabezpieczenie to można trywialnie ominąć techniką backslash escape, która przesuwa granice ciągu tekstowego w zapytaniu SQL, umożliwiając wstrzyknięcie dowolnego kodu SQL. Parametr ten nie jest objęty żadnym globalnym filtrem wejściowym zdefiniowanym w `objects/security.php`, co dodatkowo ułatwia eksploatację.
Nieuprzywilejowany, zdalny atakujący może odczytać, zmodyfikować lub usunąć dane z bazy danych aplikacji, co prowadzi do pełnego naruszenia poufności, integralności i dostępności danych.
Należy zaktualizować WWBN AVideo do wersji 26.0, która zawiera oficjalną poprawkę dla tej podatności. Szczegóły patcha dostępne są w repozytorium GitHub pod adresem wskazanym w referencjach.
WWBN AVideo w wersjach przed 26.0
Podatność jest możliwa do exploitacji bez uwierzytelnienia (CVSS AV:N/AC:L/PR:N/UI:N), co czyni ją szczególnie niebezpieczną w środowiskach z publicznym dostępem do instancji AVideo. Poprawka dostępna w wersji 26.0 zgodnie z informacją w opisie podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HWwbn Avideo
APPWwbn< 26.0
Powiązane podatności
WWBN AVideo — niekompletna naprawa command injection w test.php
WWBN AVideo: RCE przez eval() w pluginie YPTSocket — przejęcie kont
WWBN AVideo: hasła do filmów przechowywane w bazie jako plaintext
SQL Injection w WWBN AVideo — mechanizm uwierzytelniania RTMP
SSRF w WWBN AVideo — brak walidacji parametru URL w saveDVR.json.php