目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2026-33770— WWBN AVideo SQL注入漏洞

AI Predicted 9.8 Difficulty: Easy EPSS 0.49% · P39

Possible ATT&CK Techniques 1AI

T1190 · Exploit Public-Facing Application
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-33770の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
AVideo has SQL Injection in category.php fixCleanTitle() via Unparameterized clean_title and id Variables
ソース: NVD (National Vulnerability Database)
脆弱性説明
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `fixCleanTitle()` static method in `objects/category.php` constructs a SQL SELECT query by directly interpolating both `$clean_title` and `$id` into the query string without using prepared statements or parameterized queries. An attacker who can trigger category creation or renaming with a crafted title value can inject arbitrary SQL. Commit 994cc2b3d802b819e07e6088338e8bf4e484aae4 contains a patch.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
WWBN AVideo SQL注入漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
WWBN AVideo是WWBN团队的一个由PHP编写的视频平台建站系统。 WWBN AVideo 26.0及之前版本存在SQL注入漏洞,该漏洞源于objects/category.php中的fixCleanTitle()方法直接插值clean_title和id至SQL查询字符串,可能导致SQL注入。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
WWBNAVideo <= 26.0 -

II. CVE-2026-33770の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-33770のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-33770 补丁与修复 (1)

CVE-2026-33770 厂商安全公告 (1)

Same Patch Batch · WWBN · 2026-03-27 · 16 CVEs total

CVE-2026-343749.1 CRITICALAVideo has SQL Injection in Live_schedule::keyExists() via Unparameterized Stream Key
CVE-2026-343758.2 HIGHAVideo Vulnerable to Reflected XSS via Unsanitized plugin Parameter in YPTWallet Stripe Pa
CVE-2026-342456.3 MEDIUMAVideo's Missing Authorization in Playlist Schedule Creation Allows Cross-User Broadcast H
CVE-2026-342475.4 MEDIUMAVideo's IDOR in uploadPoster.php Allows Any Authenticated User to Overwrite Scheduled Liv
CVE-2026-343625.4 MEDIUMAVideo's WebSocket Token Never Expires Due to Commented-Out Timeout Validation in verifyTo
CVE-2026-337595.3 MEDIUMAVideo: Unauthenticated IDOR in playlistsVideos.json.php Exposes Private Playlist Contents
CVE-2026-337635.3 MEDIUMAVideo has an Unauthenticated Video Password Brute-Force Vulnerability via Unrate-Limited
CVE-2026-337615.3 MEDIUMAVideo: Unauthenticated Access to Scheduler Plugin Endpoints Leaks Scheduled Tasks, Email
CVE-2026-343645.3 MEDIUMAVideo has User Group-Based Category Access Control Bypass via Missing and Broken Group Fi
CVE-2026-343685.3 MEDIUMAVideo Vulnerable to Wallet Balance Double-Spend via TOCTOU Race Condition in transferBala
CVE-2026-343695.3 MEDIUMAVIdeo has Video Password Protection Bypass via API Endpoints Returning Full Playback Sour
CVE-2026-337644.3 MEDIUMAVideo: IDOR in AI Plugin Allows Stealing Other Users' AI-Generated Metadata and Transcrip
CVE-2026-33766AVideo has SSRF Protection Bypass via HTTP Redirect in Image Download Endpoints
CVE-2026-33767AVideo has SQL Injection via Partial Prepared Statement — videos_id Concatenated Directly
CVE-2026-33867AVideo has Plaintext Video Password Storage

IV. 関連脆弱性

V. CVE-2026-33770へのコメント

まだコメントはありません


コメントを残す