WWBN AVideo w wersjach do 26.0 włącznie zawiera podatność typu SQL injection w ścieżce weryfikacji klucza strumieniowania RTMP. Atakujący nieuwierzytelniony zdalnie może manipulować zapytaniami do bazy danych, co stanowi poważne zagrożenie dla poufności i integralności danych.
▸ Pokaż oryginał (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `Live_schedule::keyExists()` method constructs a SQL query by interpolating a stream key directly into the query string without parameterization. This method is called as a fallback from `LiveTransmition::keyExists()` when the initial parameterized lookup returns no results. Although the calling function correctly uses parameterized queries for its own lookup, the fallback path to `Live_schedule::keyExists()` undoes this protection entirely. This vulnerability is distinct from GHSA-pvw4-p2jm-chjm, which covers SQL injection via the `live_schedule_id` parameter in the reminder function. This finding targets the stream key lookup path used during RTMP publish authentication. As of time of publication, no patched versions are available.
Metoda `Live_schedule::keyExists()` buduje zapytanie SQL poprzez bezpośrednie wstawienie klucza strumieniowania (stream key) do treści zapytania bez użycia parametryzacji. Metoda ta jest wywoływana jako mechanizm awaryjny (fallback) z `LiveTransmition::keyExists()` — gdy właściwe, sparametryzowane zapytanie nie zwraca wyników, sterowanie przechodzi do podatnej ścieżki. W ten sposób zabezpieczenie zastosowane w funkcji wywołującej jest całkowicie neutralizowane przez niezabezpieczony fallback. Podatność jest odrębna od wcześniej zgłoszonej luki GHSA-pvw4-p2jm-chjm dotyczącej parametru `live_schedule_id`.
Atakujący bez żadnego uwierzytelnienia może manipulować zapytaniami SQL kierowanymi do bazy danych, co może prowadzić do nieautoryzowanego odczytu lub modyfikacji danych przechowywanych przez platformę, w tym danych użytkowników i konfiguracji.
Według informacji dostępnych w momencie publikacji nie istnieje jeszcze wersja z poprawką. Należy śledzić repozytorium projektu oraz advisory producenta pod adresem https://github.com/WWBN/AVideo/security/advisories/GHSA-xgv5-66wp-ch88 i zastosować patche niezwłocznie po ich udostępnieniu. Do czasu pojawienia się patcha zaleca się ograniczenie dostępu do punktów końcowych RTMP za pomocą firewall oraz reguł sieciowych.
WWBN AVideo w wersjach do 26.0 włącznie.
W momencie publikacji CVE (2026-03-27) producent nie udostępnił jeszcze wersji zawierającej poprawkę. Podatność jest odrębna od wcześniej ujawnionej luki GHSA-pvw4-p2jm-chjm w tym samym produkcie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NWwbn Avideo
APPWwbn≤ 26.0
Powiązane podatności
WWBN AVideo — niekompletna naprawa command injection w test.php
WWBN AVideo: RCE przez eval() w pluginie YPTSocket — przejęcie kont
WWBN AVideo: hasła do filmów przechowywane w bazie jako plaintext
SSRF w WWBN AVideo — brak walidacji parametru URL w saveDVR.json.php
RCE bez uwierzytelnienia w WWBN AVideo — łańcuch podatności w pluginie CloneSite