Platform
php
Component
avideo
Opgelost in
26.0.1
CVE-2026-34374 betreft een SQL Injection kwetsbaarheid in AVideo. Deze kwetsbaarheid, met een CVSS score van 9.1, maakt het mogelijk voor aanvallers om schadelijke SQL-code te injecteren. De kwetsbaarheid treft versies tot en met 26.0. Er is momenteel geen officiële patch beschikbaar.
De CVE-2026-34374-kwetsbaarheid in AVideo, een open-source videoplatform, zit in de methode Liveschedule::keyExists(). Versies tot en met 26.0 zijn getroffen. Het probleem ligt in de constructie van een SQL-query zonder de juiste parameterisatie. Specifiek wordt een stream-sleutel direct in de query-string ingevoegd, waardoor SQL-injectie mogelijk is. Hoewel de aanroepende functie, LiveTransmition::keyExists(), correct geparametriseerde queries gebruikt voor zijn eigen zoekopdracht, doet de fallback-pad naar Liveschedule::keyExists() dat niet. Een aanvaller kan deze kwetsbaarheid uitbuiten om willekeurige SQL-code op de onderliggende database uit te voeren, waardoor de integriteit en vertrouwelijkheid van de gegevens mogelijk in gevaar komt. De CVSS-score is beoordeeld op 9,1, wat een kritiek risico aangeeft. Het ontbreken van een beschikbare fix verergert de situatie en vereist onmiddellijke aandacht.
Het exploiteren van CVE-2026-34374 vereist dat een aanvaller in staat is om de invoer te beïnvloeden die binnen de functie Liveschedule::keyExists() wordt gebruikt. Dit kan plaatsvinden via verschillende vectoren, zoals het manipuleren van HTTP-verzoekparameters of het injecteren van kwaadaardige gegevens in de database. De kwetsbaarheid wordt geactiveerd wanneer LiveTransmition::keyExists() geen resultaten vindt en terugvalt naar Liveschedule::keyExists(). Een aanvaller kan een invoer creëren om dit fallback-pad af te dwingen, waardoor hij SQL-code kan injecteren. De effectiviteit van de exploitatie zal afhangen van de databaseconfiguratie en de databasegebruikersrechten die door de AVideo-applicatie worden gebruikt. Het ontbreken van een officiële fix vergroot het risico op exploitatie, vooral in omgevingen waar databasebeveiliging niet robuust is.
Organizations utilizing AVideo version 26.0 or earlier, particularly those hosting the platform on shared hosting environments or with limited security controls, are at significant risk. Deployments relying on legacy configurations or custom integrations that interact with the Live_schedule::keyExists() method are also particularly vulnerable.
• php: Examine application logs for SQL errors or unusual database activity related to the Live_schedule::keyExists() method. Use a code scanner to identify instances of string concatenation used to build SQL queries.
• generic web: Monitor access logs for requests to endpoints associated with live scheduling functionality. Look for unusual characters or patterns in the request parameters that might indicate an injection attempt.
• database (mysql): Use mysql -e 'SHOW PROCESSLIST;' to monitor active database connections and identify any suspicious queries being executed. Review slow query logs for queries that take an unusually long time to execute, which could indicate an injection attack.
disclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
Aangezien het AVideo-team geen officiële fix biedt, bestaat de onmiddellijke mitigatie uit het vermijden van het gebruik van AVideo-versies vóór 26.0. Als een upgrade niet haalbaar is, overweeg dan sterk om extra beveiligingsmaatregelen in de database-omgeving te implementeren. Dit kan de beperking van database-toegangsrechten voor de AVideo-applicatie omvatten, het implementeren van database-firewalls om netwerkverkeer te beperken en de database-activiteit te volgen op verdachte patronen. Bovendien moet de broncode van Live_schedule::keyExists() worden bekeken en moet de SQL-query correct worden geparametriseerd. AVideo-gebruikers worden geadviseerd contact op te nemen met het ontwikkelingsteam om een fix aan te vragen en op de hoogte te blijven van beveiligingsupdates.
Werk AVideo bij naar een gepatchte versie die de SQL-injectiekwetsbaarheid corrigeert. Aangezien er op het moment van publicatie geen gepatchte versies beschikbaar zijn, wordt aanbevolen om de beveiligingsupdates van WWBN te volgen en de patch toe te passen zodra deze beschikbaar is. Als tijdelijke maatregel kan een strikte validatie van de stream key worden geïmplementeerd voordat deze in de SQL-query wordt geïnterpoleerd.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
AVideo is een open-source videoplatform waarmee gebruikers video's kunnen maken, delen en bekijken.
Deze kwetsbaarheid maakt SQL-injectie mogelijk, waardoor een aanvaller mogelijk toegang krijgt tot gevoelige informatie of zelfs de controle over de database krijgt.
U moet updaten naar de nieuwste versie van AVideo (hoger dan 26.0) zodra deze beschikbaar is. Als u niet kunt updaten, implementeer dan extra beveiligingsmaatregelen in uw database.
Momenteel biedt het AVideo-team geen officiële fix. Blijf op de hoogte.
Beperk de toegang tot de database, implementeer database-firewalls en volg de database-activiteit.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.