Plataforma
php
Componente
wwbn/avideo
Corregido en
26.0.1
26.0.1
Se ha descubierto una vulnerabilidad de inyección SQL en el componente wwbn/avideo hasta la versión 26.0. Esta falla, presente en el archivo objects/category.php dentro del método getAllCategories(), permite a atacantes no autenticados inyectar código SQL malicioso. La explotación exitosa puede resultar en la manipulación de datos, la exposición de información confidencial e incluso el control del sistema. La versión 26.0 corrige esta vulnerabilidad.
La inyección SQL en wwbn/avideo permite a un atacante no autenticado ejecutar consultas SQL arbitrarias en la base de datos subyacente. Esto significa que pueden leer, modificar o eliminar datos sensibles, como información de usuarios, contraseñas, datos de configuración y otros datos críticos para la aplicación. Un atacante podría utilizar esta vulnerabilidad para obtener acceso completo al sistema, comprometer la integridad de los datos y realizar acciones no autorizadas. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el potencial de daño, ya que cualquier persona con acceso a la aplicación puede intentar explotarla. La sanitización incompleta del parámetro doNotShowCats es la causa directa de la vulnerabilidad, permitiendo el bypass de las medidas de seguridad existentes.
La vulnerabilidad CVE-2026-33352 fue publicada el 19 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La simplicidad de la explotación, con un bypass trivial de la sanitización, sugiere un riesgo potencial de explotación, especialmente en entornos donde la aplicación wwbn/avideo está expuesta a la red pública. La disponibilidad de un PoC público podría acelerar la explotación.
Organizations utilizing wwbn/avideo versions prior to 26.0, particularly those with publicly accessible instances and inadequate input validation practices, are at significant risk. Shared hosting environments where multiple users share the same database are especially vulnerable, as a compromise of one user's account could potentially lead to broader data breaches.
• wordpress / composer / npm:
grep -r "$_REQUEST['doNotShowCats']" objects/category.php• generic web:
curl -I 'http://your-avideo-site.com/objects/category.php?doNotShowCats='; # Check for SQL injection indicators in the response headers.disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33352 es actualizar wwbn/avideo a la versión 26.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización a la versión 26.0 causa problemas de compatibilidad, se recomienda realizar una copia de seguridad completa de la base de datos y del código de la aplicación antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para filtrar las solicitudes maliciosas que contienen patrones de inyección SQL. Además, se recomienda revisar y fortalecer la validación de todas las entradas de usuario en la aplicación para prevenir futuras vulnerabilidades de inyección SQL. Después de la actualización, verificar la integridad de la base de datos y la funcionalidad de la aplicación para confirmar que la vulnerabilidad ha sido resuelta.
Actualice AVideo a la versión 26.0 o superior. Esta versión contiene una corrección para la vulnerabilidad de inyección SQL. La actualización evitará que atacantes no autenticados exploten esta vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33352 is a critical SQL injection vulnerability in wwbn/avideo versions 26.0 and earlier, allowing attackers to inject malicious SQL code via the 'doNotShowCats' parameter.
If you are using wwbn/avideo versions 26.0 or earlier, you are potentially affected by this vulnerability. Immediate action is required.
Upgrade to version 26.0 or later of wwbn/avideo to resolve this vulnerability. Consider WAF rules as a temporary mitigation.
While no confirmed exploitation is public, the ease of exploitation suggests a high probability of attacks. Monitor your systems closely.
Refer to the official wwbn/avideo security advisory for detailed information and updates regarding CVE-2026-33352.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.