AVideo présente une injection SQL (SQL Injection) dans Live_schedule::keyExists() via une clé de flux non paramétrée

WWBN AVideo est une plateforme vidéo open source. Dans les versions jusqu'à la version 26.0 incluse, la méthode `Live_schedule::keyExists()` construit une requête SQL en interpolant une clé de flux directement dans la chaîne de requête sans paramétrisation. Cette méthode est appelée comme solution de repli depuis `LiveTransmition::keyExists()` lorsque la recherche paramétrée initiale ne renvoie aucun résultat. Bien que la fonction appelante utilise correctement des requêtes paramétrées pour sa propre recherche, le chemin de repli vers `Live_schedule::keyExists()` annule entièrement cette protection. Cette vulnérabilité est distincte de GHSA-pvw4-p2jm-chjm, qui couvre l'injection SQL (SQL Injection) via le paramètre `live_schedule_id` dans la fonction de rappel. Cette découverte cible le chemin de recherche de clé de flux utilisé lors de l'authentification de publication RTMP. Au moment de la publication, aucune version corrigée n'est disponible.