WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно метод Subscribe::save() в objects/subscribe.php объединяет свойство $this->users_id непосредственно в SQL-запрос INSERT без очистки или параметризованной привязки. Это свойство происходит из `$_POST['user_id']` как в `subscribe.json.php`, так и в `subscribeNotify.json.php`.
Злоумышленник, прошедший проверку подлинности, может внедрить произвольный SQL-код для извлечения конфиденциальных данных из любой таблицы базы данных, включая хэши паролей, ключи API и соли шифрования. Коммит 36dfae22059fbd66fd34bbc5568a838fc0efd66c содержит исправление.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `Subscribe::save()` method in `objects/subscribe.php` concatenates the `$this->users_id` property directly into an INSERT SQL query without sanitization or parameterized binding. This property originates from `$_POST['user_id']` in both `subscribe.json.php` and `subscribeNotify.json.php`. An authenticated attacker can inject arbitrary SQL to extract sensitive data from any database table, including password hashes, API keys, and encryption salts. Commit 36dfae22059fbd66fd34bbc5568a838fc0efd66c contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|