Plattform
php
Komponente
avideo
Behoben in
26.0.1
CVE-2026-34374 describes a critical SQL Injection vulnerability affecting AVideo, an open-source video platform. This flaw arises from improper handling of stream keys within the Live_schedule::keyExists() method, allowing attackers to inject malicious SQL code. Versions up to and including 26.0 are vulnerable. A fix is available via upgrading to a patched version of AVideo.
Die CVE-2026-34374-Schwachstelle in AVideo, einer Open-Source-Video-Plattform, liegt in der Methode Liveschedule::keyExists(). Versionen bis einschließlich 26.0 sind betroffen. Das Problem besteht in der Erstellung einer SQL-Abfrage ohne ordnungsgemäße Parametrisierung. Insbesondere wird ein Stream-Schlüssel direkt in die Abfragezeichenkette eingefügt, was SQL-Injection ermöglicht. Obwohl die aufrufende Funktion, LiveTransmition::keyExists(), korrekt parametrisierte Abfragen für ihre eigene Suche verwendet, verwendet der Fallback-Pfad zu Liveschedule::keyExists() dies nicht. Ein Angreifer könnte diese Schwachstelle ausnutzen, um beliebigen SQL-Code auf der zugrunde liegenden Datenbank auszuführen, wodurch potenziell die Integrität und Vertraulichkeit der Daten gefährdet werden. Der CVSS-Wert wurde mit 9,1 bewertet, was ein kritisches Risiko anzeigt. Das Fehlen einer verfügbaren Behebung verschärft die Situation und erfordert sofortige Aufmerksamkeit.
Die Ausnutzung von CVE-2026-34374 erfordert, dass ein Angreifer in der Lage ist, die Eingabe zu beeinflussen, die innerhalb der Funktion Liveschedule::keyExists() verwendet wird. Dies kann über verschiedene Vektoren erfolgen, z. B. durch die Manipulation von HTTP-Anforderungsparametern oder die Einspeisung bösartiger Daten in die Datenbank. Die Schwachstelle wird ausgelöst, wenn LiveTransmition::keyExists() keine Ergebnisse findet und zu Liveschedule::keyExists() zurückkehrt. Ein Angreifer kann eine Eingabe erstellen, um diesen Fallback-Pfad zu erzwingen, wodurch er SQL-Code einschleusen kann. Die Effektivität der Ausnutzung hängt von der Datenbankkonfiguration und den Datenbankbenutzerrechten ab, die von der AVideo-Anwendung verwendet werden. Das Fehlen eines offiziellen Fixes erhöht das Risiko einer Ausnutzung, insbesondere in Umgebungen, in denen die Datensicherheit nicht robust ist.
Organizations utilizing AVideo version 26.0 or earlier, particularly those hosting the platform on shared hosting environments or with limited security controls, are at significant risk. Deployments relying on legacy configurations or custom integrations that interact with the Live_schedule::keyExists() method are also particularly vulnerable.
• php: Examine application logs for SQL errors or unusual database activity related to the Live_schedule::keyExists() method. Use a code scanner to identify instances of string concatenation used to build SQL queries.
• generic web: Monitor access logs for requests to endpoints associated with live scheduling functionality. Look for unusual characters or patterns in the request parameters that might indicate an injection attempt.
• database (mysql): Use mysql -e 'SHOW PROCESSLIST;' to monitor active database connections and identify any suspicious queries being executed. Review slow query logs for queries that take an unusually long time to execute, which could indicate an injection attack.
disclosure
Exploit-Status
EPSS
0.04% (11% Perzentil)
CISA SSVC
CVSS-Vektor
Da das AVideo-Team keinen offiziellen Fix bereitstellt, besteht die unmittelbare Mitigation darin, die Verwendung von AVideo-Versionen vor 26.0 zu vermeiden. Wenn ein Upgrade nicht möglich ist, sollten Sie dringend zusätzliche Sicherheitsmaßnahmen in der Datenbankumgebung implementieren. Dies kann die Beschränkung der Datenbankzugriffsrechte für die AVideo-Anwendung, die Implementierung von Datenbank-Firewalls zur Begrenzung des Netzwerkverkehrs und die Überwachung der Datenbankaktivität auf verdächtige Muster umfassen. Darüber hinaus sollte der Quellcode von Live_schedule::keyExists() überprüft und die SQL-Abfrage ordnungsgemäß parametrisiert werden. AVideo-Benutzer werden aufgefordert, sich an das Entwicklungsteam zu wenden, um einen Fix anzufordern und über alle Sicherheitsupdates auf dem Laufenden zu bleiben.
Actualizar AVideo a una versión parcheada que corrija la vulnerabilidad de inyección SQL. Dado que no hay versiones parcheadas disponibles al momento de la publicación, se recomienda monitorear las actualizaciones de seguridad de WWBN y aplicar el parche tan pronto como esté disponible. Como medida temporal, se puede implementar una validación estricta de la clave de transmisión antes de interpolarla en la consulta SQL.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
AVideo ist eine Open-Source-Video-Plattform, die es Benutzern ermöglicht, Videos zu erstellen, zu teilen und anzusehen.
Diese Schwachstelle ermöglicht SQL-Injection, was einem Angreifer möglicherweise den Zugriff auf sensible Informationen oder sogar die Kontrolle über die Datenbank ermöglicht.
Sie sollten auf die neueste Version von AVideo (höher als 26.0) aktualisieren, sobald diese verfügbar ist. Wenn Sie nicht aktualisieren können, implementieren Sie zusätzliche Sicherheitsmaßnahmen in Ihrer Datenbank.
Derzeit stellt das AVideo-Team keinen offiziellen Fix bereit. Bleiben Sie auf dem Laufenden.
Beschränken Sie den Datenbankzugriff, implementieren Sie Datenbank-Firewalls und überwachen Sie die Datenbankaktivität.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.