Plataforma
php
Componente
wwbn/avideo
Corregido en
24.0.1
21.0.1
Se ha descubierto una vulnerabilidad de inyección SQL no autenticada en el componente AVideo, específicamente en los archivos objects/videos.json.php y objects/video.php. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo la integridad y confidencialidad de la base de datos. Las versiones afectadas son aquellas anteriores o iguales a la 21.0.0. La solución recomendada es actualizar a la versión 24.0.
La vulnerabilidad de inyección SQL en AVideo representa un riesgo significativo para la seguridad de los sistemas que lo utilizan. Un atacante no autenticado puede explotar esta falla para ejecutar consultas SQL arbitrarias, lo que les permite acceder a información confidencial almacenada en la base de datos. Esto incluye la posibilidad de exfiltrar la base de datos completa, comprometiendo todos los datos almacenados, incluyendo nombres de usuario de administradores. La falta de autenticación necesaria para explotar la vulnerabilidad amplía el radio de impacto, permitiendo a cualquier persona con acceso a la red explotarla. Esta vulnerabilidad comparte similitudes con otros ataques de inyección SQL, donde la falta de validación adecuada de la entrada del usuario permite la ejecución de código malicioso.
La vulnerabilidad CVE-2026-28501 fue publicada el 2 de marzo de 2026. No se ha añadido a la lista KEV de CISA al momento de la redacción. La probabilidad de explotación se considera media, dado que la vulnerabilidad es de alta severidad y no requiere autenticación. Se desconoce la existencia de pruebas de concepto (PoC) públicas activas, pero la naturaleza de la inyección SQL hace que sea probable que se desarrollen en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations utilizing AVideo versions prior to 24.0, particularly those with publicly accessible instances or those handling sensitive user data, are at significant risk. Shared hosting environments where multiple users share the same AVideo installation are also particularly vulnerable, as a compromise of one user's account could potentially lead to database access for all users.
• php / web:
curl -X POST -d '{"catName: "'$(python3 -c 'print("'; DROP TABLE users;--")')'"}' http://your-avideo-server/objects/videos.json.php• generic web:
grep -i "DROP TABLE" /var/log/apache2/access.log• generic web:
grep -i "SELECT * FROM" /var/log/apache2/error.logdisclosure
Estado del Exploit
EPSS
0.04% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar AVideo a la versión 24.0 o superior, donde se ha corregido el problema. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la implementación de reglas en un Web Application Firewall (WAF) para bloquear solicitudes con patrones de inyección SQL conocidos. También se pueden configurar reglas de proxy para filtrar el tráfico malicioso. Además, se recomienda revisar y fortalecer las políticas de seguridad de la base de datos para limitar el acceso y los privilegios de los usuarios. Después de la actualización, confirme la corrección ejecutando pruebas de penetración para verificar que la vulnerabilidad ha sido eliminada.
Actualice AVideo a la versión 24.0 o superior. Esta versión corrige la vulnerabilidad de inyección SQL no autenticada. La actualización se puede realizar a través del panel de administración o descargando la última versión del software.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28501 describes a critical SQL Injection vulnerability in AVideo versions prior to 24.0, allowing unauthenticated attackers to execute arbitrary SQL queries and potentially steal the entire database.
You are affected if you are running AVideo versions equal to or less than 21.0.0. Immediately assess your environment and upgrade to version 24.0 or later.
The recommended fix is to upgrade AVideo to version 24.0 or later. As a temporary workaround, implement strict input validation and consider using a WAF.
While no confirmed active exploitation has been publicly reported, the vulnerability's ease of exploitation suggests it could be targeted. Proactive remediation is strongly advised.
Refer to the official AVideo security advisory for detailed information and updates regarding CVE-2026-28501. (Note: Specific advisory URL not provided in input data.)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.