Platform
php
Component
wwbn/avideo
Opgelost in
24.0.1
21.0.1
CVE-2026-28501 beschrijft een kritieke SQL Injection kwetsbaarheid in de AVideo component, specifiek in de bestanden objects/videos.json.php en objects/video.php. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om SQL queries uit te voeren en potentieel gevoelige data te stelen. De kwetsbaarheid treft versies van AVideo tot en met 21.0.0. Een update naar versie 24.0 is beschikbaar om dit probleem te verhelpen.
Deze SQL Injection kwetsbaarheid is bijzonder ernstig omdat deze ongeauthenticeerd is. Een aanvaller hoeft geen inloggegevens te hebben om de kwetsbaarheid te exploiteren. Door het manipuleren van de 'catName' parameter in een JSON-formatted POST request, kan een aanvaller SQL queries injecteren die worden uitgevoerd met de privileges van de databasegebruiker waarmee AVideo draait. Dit kan leiden tot volledige database exfiltratie, waarbij alle data in de database wordt gestolen. Daarnaast kan de aanvaller gevoelige informatie zoals administrator gebruikersnamen en wachtwoorden verkrijgen, wat verdere toegang tot het systeem mogelijk maakt. De impact is vergelijkbaar met kwetsbaarheden waarbij de database direct toegankelijk is zonder adequate validatie van input, waardoor de aanvaller volledige controle over de data kan krijgen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-02. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis, maar de kritieke ernst en ongeauthenticeerde aard van de kwetsbaarheid maken het een aantrekkelijk doelwit voor aanvallers. Het is aannemelijk dat er binnenkort Proof-of-Concept (PoC) exploits beschikbaar komen. De kwetsbaarheid is nog niet opgenomen in de CISA KEV catalogus.
Organizations utilizing AVideo versions prior to 24.0, particularly those with publicly accessible instances or those handling sensitive user data, are at significant risk. Shared hosting environments where multiple users share the same AVideo installation are also particularly vulnerable, as a compromise of one user's account could potentially lead to database access for all users.
• php / web:
curl -X POST -d '{"catName: "'$(python3 -c 'print("'; DROP TABLE users;--")')'"}' http://your-avideo-server/objects/videos.json.php• generic web:
grep -i "DROP TABLE" /var/log/apache2/access.log• generic web:
grep -i "SELECT * FROM" /var/log/apache2/error.logdisclosure
Exploit Status
EPSS
0.04% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van AVideo naar versie 24.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strenge input validatie op de 'catName' parameter in de objects/videos.json.php en objects/video.php bestanden. Dit kan door middel van whitelisting van toegestane karakters of het gebruik van prepared statements om SQL injectie te voorkomen. Het implementeren van een Web Application Firewall (WAF) met regels die SQL injectie pogingen detecteren en blokkeren kan ook helpen. Controleer de AVideo configuratie om te verzekeren dat de database gebruiker met minimale privileges draait. Na de upgrade, controleer de applicatielogboeken op verdachte SQL queries om te bevestigen dat de kwetsbaarheid is verholpen.
Actualiseer AVideo naar versie 24.0 of hoger. Deze versie corrigeert de ongeauthenticeerde SQL injection kwetsbaarheid. De update kan worden uitgevoerd via het beheerpaneel of door de nieuwste versie van de software te downloaden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-28501 describes a critical SQL Injection vulnerability in AVideo versions prior to 24.0, allowing unauthenticated attackers to execute arbitrary SQL queries and potentially steal the entire database.
You are affected if you are running AVideo versions equal to or less than 21.0.0. Immediately assess your environment and upgrade to version 24.0 or later.
The recommended fix is to upgrade AVideo to version 24.0 or later. As a temporary workaround, implement strict input validation and consider using a WAF.
While no confirmed active exploitation has been publicly reported, the vulnerability's ease of exploitation suggests it could be targeted. Proactive remediation is strongly advised.
Refer to the official AVideo security advisory for detailed information and updates regarding CVE-2026-28501. (Note: Specific advisory URL not provided in input data.)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.