AVideo tem Injeção SQL (SQL Injection) em Live_schedule::keyExists() via Chave de Stream Não Parametrizada

WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até à 26.0 inclusive, o método `Live_schedule::keyExists()` constrói uma consulta SQL interpolando uma chave de stream diretamente na string de consulta sem parametrização. Este método é chamado como um fallback de `LiveTransmition::keyExists()` quando a pesquisa parametrizada inicial não retorna resultados. Embora a função de chamada use corretamente consultas parametrizadas para sua própria pesquisa, o caminho de fallback para `Live_schedule::keyExists()` desfaz completamente essa proteção. Esta vulnerabilidade é distinta de GHSA-pvw4-p2jm-chjm, que cobre a injeção SQL (SQL Injection) através do parâmetro `live_schedule_id` na função de lembrete. Esta descoberta tem como alvo o caminho de pesquisa da chave de stream usado durante a autenticação de publicação RTMP. Até o momento da publicação, nenhuma versão corrigida está disponível.