WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 24.0 в AVideo существовала уязвимость, связанная с внедрением SQL-кода без аутентификации, в компонентах Objects/videos.json.php и Objects/video.php. Приложению не удается должным образом очистить параметр catName, когда он предоставляется через тело запроса POST в формате JSON.
Поскольку входные данные JSON анализируются и объединяются в $_REQUEST после выполнения глобальных проверок безопасности, полезная нагрузка обходит существующие механизмы очистки. Эта проблема исправлена в версии 24.0.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. Prior to version 24.0, an unauthenticated SQL Injection vulnerability exists in AVideo within the objects/videos.json.php and objects/video.php components. The application fails to properly sanitize the catName parameter when it is supplied via a JSON-formatted POST request body. Because JSON input is parsed and merged into $_REQUEST after global security checks are executed, the payload bypasses the existing sanitization mechanisms. This issue has been patched in version 24.0.
Характеристики атаки
Последствия
Строка CVSS v3.1