Kostenlos scannen
CRITICALCVE-2026-34374CVSS 9.1

AVideo hat SQL-Injektion (SQL Injection) in Live_schedule::keyExists() über unparametrisierten Stream-Schlüssel

Plattform

php

Komponente

avideo

Behoben in

26.0.1

AI Confidence: highNVDEPSS 0.0%Geprüft: Mai 2026
Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2026-34374 describes a critical SQL Injection vulnerability affecting AVideo, an open-source video platform. This flaw arises from improper handling of stream keys within the Live_schedule::keyExists() method, allowing attackers to inject malicious SQL code. Versions up to and including 26.0 are vulnerable. A fix is available via upgrading to a patched version of AVideo.

Auswirkungen und Angriffsszenarien

Die CVE-2026-34374-Schwachstelle in AVideo, einer Open-Source-Video-Plattform, liegt in der Methode Liveschedule::keyExists(). Versionen bis einschließlich 26.0 sind betroffen. Das Problem besteht in der Erstellung einer SQL-Abfrage ohne ordnungsgemäße Parametrisierung. Insbesondere wird ein Stream-Schlüssel direkt in die Abfragezeichenkette eingefügt, was SQL-Injection ermöglicht. Obwohl die aufrufende Funktion, LiveTransmition::keyExists(), korrekt parametrisierte Abfragen für ihre eigene Suche verwendet, verwendet der Fallback-Pfad zu Liveschedule::keyExists() dies nicht. Ein Angreifer könnte diese Schwachstelle ausnutzen, um beliebigen SQL-Code auf der zugrunde liegenden Datenbank auszuführen, wodurch potenziell die Integrität und Vertraulichkeit der Daten gefährdet werden. Der CVSS-Wert wurde mit 9,1 bewertet, was ein kritisches Risiko anzeigt. Das Fehlen einer verfügbaren Behebung verschärft die Situation und erfordert sofortige Aufmerksamkeit.

Ausnutzungskontext

Die Ausnutzung von CVE-2026-34374 erfordert, dass ein Angreifer in der Lage ist, die Eingabe zu beeinflussen, die innerhalb der Funktion Liveschedule::keyExists() verwendet wird. Dies kann über verschiedene Vektoren erfolgen, z. B. durch die Manipulation von HTTP-Anforderungsparametern oder die Einspeisung bösartiger Daten in die Datenbank. Die Schwachstelle wird ausgelöst, wenn LiveTransmition::keyExists() keine Ergebnisse findet und zu Liveschedule::keyExists() zurückkehrt. Ein Angreifer kann eine Eingabe erstellen, um diesen Fallback-Pfad zu erzwingen, wodurch er SQL-Code einschleusen kann. Die Effektivität der Ausnutzung hängt von der Datenbankkonfiguration und den Datenbankbenutzerrechten ab, die von der AVideo-Anwendung verwendet werden. Das Fehlen eines offiziellen Fixes erhöht das Risiko einer Ausnutzung, insbesondere in Umgebungen, in denen die Datensicherheit nicht robust ist.

Wer Ist Gefährdetwird übersetzt…

Organizations utilizing AVideo version 26.0 or earlier, particularly those hosting the platform on shared hosting environments or with limited security controls, are at significant risk. Deployments relying on legacy configurations or custom integrations that interact with the Live_schedule::keyExists() method are also particularly vulnerable.

Erkennungsschrittewird übersetzt…

• php: Examine application logs for SQL errors or unusual database activity related to the Live_schedule::keyExists() method. Use a code scanner to identify instances of string concatenation used to build SQL queries. • generic web: Monitor access logs for requests to endpoints associated with live scheduling functionality. Look for unusual characters or patterns in the request parameters that might indicate an injection attempt. • database (mysql): Use mysql -e 'SHOW PROCESSLIST;' to monitor active database connections and identify any suspicious queries being executed. Review slow query logs for queries that take an unusually long time to execute, which could indicate an injection attack.

Angriffszeitlinie

  1. Disclosure

    disclosure

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

EPSS

0.04% (11% Perzentil)

CISA SSVC

Ausnutzungpoc
Automatisierbarno
Technische Auswirkungtotal

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N9.1CRITICALAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityHighRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponenteavideo
HerstellerWWBN
Betroffener BereichBehoben in
<= 26.0 – <= 26.026.0.1

Schwachstellen-Klassifikation (CWE)

CWE-89

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. EPSS aktualisiert
Kein Patch — 58 Tage seit Offenlegung

Mitigation und Workarounds

Da das AVideo-Team keinen offiziellen Fix bereitstellt, besteht die unmittelbare Mitigation darin, die Verwendung von AVideo-Versionen vor 26.0 zu vermeiden. Wenn ein Upgrade nicht möglich ist, sollten Sie dringend zusätzliche Sicherheitsmaßnahmen in der Datenbankumgebung implementieren. Dies kann die Beschränkung der Datenbankzugriffsrechte für die AVideo-Anwendung, die Implementierung von Datenbank-Firewalls zur Begrenzung des Netzwerkverkehrs und die Überwachung der Datenbankaktivität auf verdächtige Muster umfassen. Darüber hinaus sollte der Quellcode von Live_schedule::keyExists() überprüft und die SQL-Abfrage ordnungsgemäß parametrisiert werden. AVideo-Benutzer werden aufgefordert, sich an das Entwicklungsteam zu wenden, um einen Fix anzufordern und über alle Sicherheitsupdates auf dem Laufenden zu bleiben.

So behebenwird übersetzt…

Actualizar AVideo a una versión parcheada que corrija la vulnerabilidad de inyección SQL. Dado que no hay versiones parcheadas disponibles al momento de la publicación, se recomienda monitorear las actualizaciones de seguridad de WWBN y aplicar el parche tan pronto como esté disponible. Como medida temporal, se puede implementar una validación estricta de la clave de transmisión antes de interpolarla en la consulta SQL.

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragen

Was ist CVE-2026-34374 — SQL Injection in AVideo?

AVideo ist eine Open-Source-Video-Plattform, die es Benutzern ermöglicht, Videos zu erstellen, zu teilen und anzusehen.

Bin ich von CVE-2026-34374 in AVideo betroffen?

Diese Schwachstelle ermöglicht SQL-Injection, was einem Angreifer möglicherweise den Zugriff auf sensible Informationen oder sogar die Kontrolle über die Datenbank ermöglicht.

Wie behebe ich CVE-2026-34374 in AVideo?

Sie sollten auf die neueste Version von AVideo (höher als 26.0) aktualisieren, sobald diese verfügbar ist. Wenn Sie nicht aktualisieren können, implementieren Sie zusätzliche Sicherheitsmaßnahmen in Ihrer Datenbank.

Wird CVE-2026-34374 aktiv ausgenutzt?

Derzeit stellt das AVideo-Team keinen offiziellen Fix bereit. Bleiben Sie auf dem Laufenden.

Wo finde ich den offiziellen AVideo-Hinweis für CVE-2026-34374?

Beschränken Sie den Datenbankzugriff, implementieren Sie Datenbank-Firewalls und überwachen Sie die Datenbankaktivität.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen