Plateforme
php
Composant
avideo
Corrigé dans
26.0.1
CVE-2026-34374 est une vulnérabilité d'injection SQL affectant AVideo, une plateforme vidéo open source. Plus précisément, elle réside dans la méthode Live_schedule::keyExists() qui construit une requête SQL en interpolant directement une clé de flux dans la chaîne de requête sans paramétrisation. Cette vulnérabilité, avec un score CVSS de 9.1 (CRITIQUE), permet à un attaquant d'exécuter des requêtes SQL arbitraires. Les versions d'AVideo affectées sont celles inférieures ou égales à 26.0. Il n'existe pas de correctif officiel disponible à ce jour.
La vulnérabilité CVE-2026-34374 dans AVideo, une plateforme vidéo open source, réside dans la méthode Liveschedule::keyExists(). Les versions jusqu'à et y compris la 26.0 sont affectées. Le problème réside dans la construction d'une requête SQL sans la bonne paramétrisation. Plus précisément, une clé de diffusion est insérée directement dans la chaîne de requête, ce qui permet l'injection SQL. Bien que la fonction appelante, LiveTransmition::keyExists(), utilise correctement des requêtes paramétrées pour sa propre recherche, le chemin de repli vers Liveschedule::keyExists() ne le fait pas. Un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code SQL arbitraire sur la base de données sous-jacente, compromettant potentiellement l'intégrité et la confidentialité des données. Le score CVSS a été noté à 9.1, ce qui indique un risque critique. L'absence de correctif disponible aggrave la situation, nécessitant une attention immédiate.
L'exploitation de CVE-2026-34374 nécessite qu'un attaquant soit capable d'influencer l'entrée utilisée dans la fonction Liveschedule::keyExists(). Cela peut se produire par le biais de divers vecteurs, tels que la manipulation de paramètres de requête HTTP ou l'injection de données malveillantes dans la base de données. La vulnérabilité se déclenche lorsque LiveTransmition::keyExists() ne parvient pas à trouver de résultats et revient à Liveschedule::keyExists(). Un attaquant peut créer une entrée pour forcer ce chemin de repli, lui permettant d'injecter du code SQL. L'efficacité de l'exploitation dépendra de la configuration de la base de données et des privilèges de l'utilisateur de la base de données utilisés par l'application AVideo. L'absence de correctif officiel augmente le risque d'exploitation, en particulier dans les environnements où la sécurité de la base de données n'est pas robuste.
Organizations utilizing AVideo version 26.0 or earlier, particularly those hosting the platform on shared hosting environments or with limited security controls, are at significant risk. Deployments relying on legacy configurations or custom integrations that interact with the Live_schedule::keyExists() method are also particularly vulnerable.
• php: Examine application logs for SQL errors or unusual database activity related to the Live_schedule::keyExists() method. Use a code scanner to identify instances of string concatenation used to build SQL queries.
• generic web: Monitor access logs for requests to endpoints associated with live scheduling functionality. Look for unusual characters or patterns in the request parameters that might indicate an injection attempt.
• database (mysql): Use mysql -e 'SHOW PROCESSLIST;' to monitor active database connections and identify any suspicious queries being executed. Review slow query logs for queries that take an unusually long time to execute, which could indicate an injection attack.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
Étant donné qu'aucun correctif officiel n'est fourni par l'équipe AVideo, la mitigation immédiate consiste à éviter d'utiliser des versions d'AVideo antérieures à la 26.0. Si la mise à niveau n'est pas possible, envisagez fortement de mettre en œuvre des mesures de sécurité supplémentaires sur l'environnement de la base de données. Cela peut inclure la restriction des privilèges d'accès à la base de données pour l'application AVideo, la mise en œuvre de pare-feu de base de données pour limiter le trafic réseau et la surveillance de l'activité de la base de données à la recherche de modèles suspects. De plus, le code source de Live_schedule::keyExists() doit être examiné et une paramétrisation appropriée appliquée à la requête SQL. Les utilisateurs d'AVideo sont invités à contacter l'équipe de développement pour demander un correctif et à rester informés de toute mise à jour de sécurité.
Actualizar AVideo a una versión parcheada que corrija la vulnerabilidad de inyección SQL. Dado que no hay versiones parcheadas disponibles al momento de la publicación, se recomienda monitorear las actualizaciones de seguridad de WWBN y aplicar el parche tan pronto como esté disponible. Como medida temporal, se puede implementar una validación estricta de la clave de transmisión antes de interpolarla en la consulta SQL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
AVideo est une plateforme vidéo open source qui permet aux utilisateurs de créer, de partager et de regarder des vidéos.
Cette vulnérabilité permet l'injection SQL, ce qui pourrait permettre à un attaquant d'accéder à des informations sensibles ou même de contrôler la base de données.
Vous devez mettre à niveau vers la dernière version d'AVideo (supérieure à 26.0) dès qu'elle est disponible. Si vous ne pouvez pas mettre à niveau, mettez en œuvre des mesures de sécurité supplémentaires sur votre base de données.
Actuellement, il n'y a pas de correctif officiel fourni par l'équipe AVideo. Restez à l'écoute des mises à jour.
Restreignez l'accès à la base de données, mettez en œuvre des pare-feu de base de données et surveillez l'activité de la base de données.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.