Plateforme
php
Composant
wwbn/avideo
Corrigé dans
24.0.1
21.0.1
Une vulnérabilité critique d'injection SQL a été découverte dans le composant AVideo, affectant les versions inférieures ou égales à 21.0.0. Cette faille permet à un attaquant non authentifié d'injecter des requêtes SQL malveillantes via le paramètre catName dans les fichiers objects/videos.json.php et objects/video.php. L'exploitation réussie de cette vulnérabilité peut entraîner une exfiltration complète de la base de données et la compromission de données sensibles.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter l'injection SQL pour exécuter des requêtes SQL arbitraires sur la base de données sous-jacente. Cela permet l'accès non autorisé à toutes les données stockées dans la base de données, y compris les informations d'identification des administrateurs, les données sensibles des utilisateurs et d'autres informations critiques. L'attaquant peut potentiellement modifier les données, supprimer des informations ou même prendre le contrôle complet du serveur. Cette vulnérabilité présente un risque élevé de compromission des données et de perturbation des services.
Cette vulnérabilité est considérée comme critique en raison de sa facilité d'exploitation et de son impact potentiel. Bien qu'aucune exploitation active à grande échelle n'ait été signalée à ce jour, la nature publique de la vulnérabilité et l'absence de mécanismes d'authentification la rendent susceptible d'être exploitée. La vulnérabilité a été publiée le 2 mars 2026. Il est conseillé de surveiller les forums de sécurité et les flux d'informations sur les menaces pour détecter toute activité suspecte.
Organizations utilizing AVideo versions prior to 24.0, particularly those with publicly accessible instances or those handling sensitive user data, are at significant risk. Shared hosting environments where multiple users share the same AVideo installation are also particularly vulnerable, as a compromise of one user's account could potentially lead to database access for all users.
• php / web:
curl -X POST -d '{"catName: "'$(python3 -c 'print("'; DROP TABLE users;--")')'"}' http://your-avideo-server/objects/videos.json.php• generic web:
grep -i "DROP TABLE" /var/log/apache2/access.log• generic web:
grep -i "SELECT * FROM" /var/log/apache2/error.logdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour AVideo vers la version 24.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en œuvre des mesures de contournement temporaires. Il est fortement recommandé de désactiver temporairement les fonctionnalités qui utilisent le paramètre catName ou de mettre en œuvre une validation stricte des entrées côté serveur pour empêcher l'injection de code SQL. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'exploitation. Après la mise à jour, vérifiez l'intégrité de la base de données et assurez-vous que les données sensibles sont correctement protégées.
Mettez à jour AVideo à la version 24.0 ou supérieure. Cette version corrige la vulnérabilité d'injection SQL non authentifiée. La mise à jour peut être effectuée via le panneau d'administration ou en téléchargeant la dernière version du logiciel.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28501 describes a critical SQL Injection vulnerability in AVideo versions prior to 24.0, allowing unauthenticated attackers to execute arbitrary SQL queries and potentially steal the entire database.
You are affected if you are running AVideo versions equal to or less than 21.0.0. Immediately assess your environment and upgrade to version 24.0 or later.
The recommended fix is to upgrade AVideo to version 24.0 or later. As a temporary workaround, implement strict input validation and consider using a WAF.
While no confirmed active exploitation has been publicly reported, the vulnerability's ease of exploitation suggests it could be targeted. Proactive remediation is strongly advised.
Refer to the official AVideo security advisory for detailed information and updates regarding CVE-2026-28501. (Note: Specific advisory URL not provided in input data.)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.