प्लेटफ़ॉर्म
php
घटक
wwbn/avideo
में ठीक किया गया
24.0.1
21.0.1
AVideo में एक गंभीर SQL इंजेक्शन भेद्यता मौजूद है, विशेष रूप से objects/videos.json.php और objects/video.php घटकों में। यह भेद्यता JSON-स्वरूपित POST अनुरोधों के माध्यम से आपूर्ति किए गए catName पैरामीटर के अनुचित सैनिटाइजेशन के कारण होती है। संस्करण 21.0.0 से कम या बराबर वाले संस्करण प्रभावित हैं। 24.0 संस्करण में एक पैच जारी किया गया है।
यह SQL इंजेक्शन भेद्यता एक अनधिकृत हमलावर को डेटाबेस के साथ मनमाना SQL क्वेरी निष्पादित करने की अनुमति देती है। हमलावर डेटाबेस से संवेदनशील जानकारी निकाल सकता है, जिसमें व्यवस्थापक उपयोगकर्ता नाम भी शामिल हैं। यह भेद्यता डेटा उल्लंघनों और सिस्टम के पूर्ण नियंत्रण के लिए अग्रणी हो सकती है। JSON इनपुट को सुरक्षा जांचों को बायपास करने के लिए $_REQUEST में मर्ज करने के कारण, मौजूदा सैनिटाइजेशन तंत्र को दरकिनार कर दिया जाता है। यह भेद्यता Log4Shell जैसे शोषण पैटर्न के समान है, जहाँ इनपुट को अनपेक्षित रूप से संसाधित किया जाता है, जिससे गंभीर सुरक्षा जोखिम पैदा होते हैं।
यह CVE सार्वजनिक रूप से 2026-03-02 को प्रकाशित हुआ था। इसकी गंभीरता CRITICAL है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो इस भेद्यता के शोषण को आसान बनाते हैं। CISA KEV सूची में शामिल होने की स्थिति अभी तक निर्धारित नहीं है। इस भेद्यता का सक्रिय शोषण संभव है, इसलिए तत्काल कार्रवाई की सिफारिश की जाती है।
Organizations utilizing AVideo versions prior to 24.0, particularly those with publicly accessible instances or those handling sensitive user data, are at significant risk. Shared hosting environments where multiple users share the same AVideo installation are also particularly vulnerable, as a compromise of one user's account could potentially lead to database access for all users.
• php / web:
curl -X POST -d '{"catName: "'$(python3 -c 'print("'; DROP TABLE users;--")')'"}' http://your-avideo-server/objects/videos.json.php• generic web:
grep -i "DROP TABLE" /var/log/apache2/access.log• generic web:
grep -i "SELECT * FROM" /var/log/apache2/error.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (10% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे पहले, AVideo को संस्करण 24.0 में अपग्रेड करें। यदि अपग्रेड तत्काल संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें जो SQL इंजेक्शन हमलों को ब्लॉक कर सके। WAF नियमों को JSON POST अनुरोधों में catName पैरामीटर के लिए दुर्भावनापूर्ण SQL इंजेक्शन पेलोड का पता लगाने और ब्लॉक करने के लिए कॉन्फ़िगर करें। इसके अतिरिक्त, इनपुट सत्यापन को मजबूत करने के लिए एप्लिकेशन कोड में अतिरिक्त सैनिटाइजेशन परतें लागू करें। अपग्रेड के बाद, यह सत्यापित करने के लिए कि भेद्यता ठीक हो गई है, एक सुरक्षा स्कैन चलाएं।
AVideo को संस्करण 24.0 या उच्चतर में अपडेट करें। यह संस्करण अनधिकृत (Unauthenticated) SQL Injection भेद्यता को ठीक करता है। अपडेट को व्यवस्थापन पैनल के माध्यम से या सॉफ़्टवेयर के नवीनतम संस्करण को डाउनलोड करके किया जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-28501 AVideo में एक गंभीर SQL इंजेक्शन भेद्यता है जो हमलावरों को डेटाबेस से संवेदनशील जानकारी निकालने की अनुमति देती है। यह objects/videos.json.php और objects/video.php घटकों में मौजूद है।
यदि आप AVideo के संस्करण 21.0.0 से कम या बराबर का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
AVideo को संस्करण 24.0 में अपग्रेड करें। यदि अपग्रेड तत्काल संभव नहीं है, तो WAF का उपयोग करें और इनपुट सत्यापन को मजबूत करें।
CVE-2026-28501 के सक्रिय शोषण की संभावना है, इसलिए तत्काल कार्रवाई की सिफारिश की जाती है।
आधिकारिक AVideo सलाहकार के लिए, कृपया AVideo की वेबसाइट या सुरक्षा घोषणाओं की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।