CRITICAL🇬🇧 English

CVE-2026-33352

SQL Injection w WWBN AVideo — dostęp bez uwierzytelnienia

CVSS 9.8v3.1pub. 2026-03-23

WWBN AVideo w wersjach przed 26.0 zawiera krytyczną podatność SQL injection dostępną bez uwierzytelnienia w pliku `objects/category.php`. Atakujący może przejąć kontrolę nad bazą danych aplikacji bez konieczności posiadania jakiegokolwiek konta.

Pokaż oryginał (EN)

WWBN AVideo is an open source video platform. Prior to version 26.0, an unauthenticated SQL injection vulnerability exists in `objects/category.php` in the `getAllCategories()` method. The `doNotShowCats` request parameter is sanitized only by stripping single-quote characters (`str_replace("'", '', ...)`), but this is trivially bypassed using a backslash escape technique to shift SQL string boundaries. The parameter is not covered by any of the application's global input filters in `objects/security.php`. Version 26.0 contains a patch for the issue.

🤖 Analiza AI
Jak działa

Metoda `getAllCategories()` w pliku `objects/category.php` przyjmuje parametr żądania `doNotShowCats` i oczyszcza go wyłącznie przez usunięcie znaków pojedynczego cudzysłowu (`str_replace("'", '', ...)`). Zabezpieczenie to można trywialnie ominąć techniką backslash escape, która przesuwa granice ciągu tekstowego w zapytaniu SQL, umożliwiając wstrzyknięcie dowolnego kodu SQL. Parametr ten nie jest objęty żadnym globalnym filtrem wejściowym zdefiniowanym w `objects/security.php`, co dodatkowo ułatwia eksploatację.

Skutki

Nieuprzywilejowany, zdalny atakujący może odczytać, zmodyfikować lub usunąć dane z bazy danych aplikacji, co prowadzi do pełnego naruszenia poufności, integralności i dostępności danych.

Mitygacja

Należy zaktualizować WWBN AVideo do wersji 26.0, która zawiera oficjalną poprawkę dla tej podatności. Szczegóły patcha dostępne są w repozytorium GitHub pod adresem wskazanym w referencjach.

Kogo dotyczy

WWBN AVideo w wersjach przed 26.0

Uwagi

Podatność jest możliwa do exploitacji bez uwierzytelnienia (CVSS AV:N/AC:L/PR:N/UI:N), co czyni ją szczególnie niebezpieczną w środowiskach z publicznym dostępem do instancji AVideo. Poprawka dostępna w wersji 26.0 zgodnie z informacją w opisie podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Wwbn Avideo

    APP
    Wwbn
    < 26.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-41064CRITICAL9.3PL ✓ten sam produkt

WWBN AVideo — niekompletna naprawa command injection w test.php

CVE-2026-40911CRITICAL10.0PL ✓ten sam produkt

WWBN AVideo: RCE przez eval() w pluginie YPTSocket — przejęcie kont

CVE-2026-33867CRITICAL9.1PL ✓ten sam produkt

WWBN AVideo: hasła do filmów przechowywane w bazie jako plaintext

CVE-2026-34374CRITICAL9.1PL ✓ten sam produkt

SQL Injection w WWBN AVideo — mechanizm uwierzytelniania RTMP

CVE-2026-33351CRITICAL9.1PL ✓ten sam produkt

SSRF w WWBN AVideo — brak walidacji parametru URL w saveDVR.json.php