WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 24.0 в AVideo существовала уязвимость, связанная с внедрением SQL-кода без аутентификации, в компонентах Objects/videos.json.php и Objects/video.php. Приложению не удается должным образом очистить параметр catName, когда он предоставляется через тело запроса POST в формате JSON.
Поскольку входные данные JSON анализируются и объединяются в $_REQUEST после выполнения глобальных проверок безопасности, полезная нагрузка обходит существующие механизмы очистки. Эта проблема исправлена в версии 24.0.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. Prior to version 24.0, an unauthenticated SQL Injection vulnerability exists in AVideo within the objects/videos.json.php and objects/video.php components. The application fails to properly sanitize the catName parameter when it is supplied via a JSON-formatted POST request body. Because JSON input is parsed and merged into $_REQUEST after global security checks are executed, the payload bypasses the existing sanitization mechanisms. This issue has been patched in version 24.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
24.0
|