Plataforma
php
Componente
avideo
Corrigido em
26.0.1
CVE-2026-34374 descreve uma vulnerabilidade de SQL Injection encontrada no AVideo, uma plataforma de vídeo de código aberto. A falha permite que um invasor execute comandos SQL arbitrários, comprometendo a integridade e confidencialidade dos dados. A vulnerabilidade afeta versões até a 26.0. Recomenda-se atualizar para uma versão corrigida o quanto antes.
A vulnerabilidade CVE-2026-34374 em AVideo, uma plataforma de vídeo de código aberto, reside no método Liveschedule::keyExists(). Versões até a 26.0 são suscetíveis. O problema está na construção de uma consulta SQL sem a devida parametrização. Especificamente, uma chave de transmissão é inserida diretamente na string da consulta, permitindo a injeção de SQL. Embora a função chamadora, LiveTransmition::keyExists(), utilize corretamente consultas parametrizadas para sua própria pesquisa, o caminho de fallback para Liveschedule::keyExists() não o faz. Um atacante poderia explorar esta vulnerabilidade para executar código SQL arbitrário no banco de dados subjacente, comprometendo potencialmente a integridade e a confidencialidade dos dados. A pontuação CVSS foi classificada em 9.1, indicando um risco crítico. A ausência de uma solução disponível agrava a situação, exigindo atenção imediata.
A exploração de CVE-2026-34374 requer que um atacante seja capaz de influenciar a entrada usada dentro da função Liveschedule::keyExists(). Isso pode ocorrer por meio de vários vetores, como a manipulação de parâmetros de solicitação HTTP ou a injeção de dados maliciosos no banco de dados. A vulnerabilidade é acionada quando LiveTransmition::keyExists() não consegue encontrar resultados e recua para Liveschedule::keyExists(). Um atacante pode criar uma entrada para forçar este caminho de fallback, permitindo que injete código SQL. A eficácia da exploração dependerá da configuração do banco de dados e dos privilégios do usuário do banco de dados usados pela aplicação AVideo. A ausência de uma correção oficial aumenta o risco de exploração, especialmente em ambientes onde a segurança do banco de dados não é robusta.
Organizations utilizing AVideo version 26.0 or earlier, particularly those hosting the platform on shared hosting environments or with limited security controls, are at significant risk. Deployments relying on legacy configurations or custom integrations that interact with the Live_schedule::keyExists() method are also particularly vulnerable.
• php: Examine application logs for SQL errors or unusual database activity related to the Live_schedule::keyExists() method. Use a code scanner to identify instances of string concatenation used to build SQL queries.
• generic web: Monitor access logs for requests to endpoints associated with live scheduling functionality. Look for unusual characters or patterns in the request parameters that might indicate an injection attempt.
• database (mysql): Use mysql -e 'SHOW PROCESSLIST;' to monitor active database connections and identify any suspicious queries being executed. Review slow query logs for queries that take an unusually long time to execute, which could indicate an injection attack.
disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
Considerando que não há uma correção oficial fornecida pela equipe AVideo, a mitigação imediata envolve evitar o uso de versões do AVideo anteriores à 26.0. Se a atualização não for viável, considere fortemente implementar medidas de segurança adicionais no ambiente do banco de dados. Isso pode incluir restringir os privilégios de acesso ao banco de dados para a aplicação AVideo, implementar firewalls de banco de dados para limitar o tráfego de rede e monitorar a atividade do banco de dados em busca de padrões suspeitos. Além disso, o código-fonte de Live_schedule::keyExists() deve ser revisado e a parametrização apropriada aplicada à consulta SQL. Os usuários que utilizam AVideo são aconselhados a entrar em contato com a equipe de desenvolvimento para solicitar uma correção e manter-se informados sobre quaisquer atualizações de segurança.
Actualizar AVideo a una versión parcheada que corrija la vulnerabilidad de inyección SQL. Dado que no hay versiones parcheadas disponibles al momento de la publicación, se recomienda monitorear las actualizaciones de seguridad de WWBN y aplicar el parche tan pronto como esté disponible. Como medida temporal, se puede implementar una validación estricta de la clave de transmisión antes de interpolarla en la consulta SQL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
AVideo é uma plataforma de vídeo de código aberto que permite aos usuários criar, compartilhar e assistir vídeos.
Esta vulnerabilidade permite a injeção de SQL, o que pode permitir que um atacante acesse informações confidenciais ou até mesmo controle o banco de dados.
Você deve atualizar para a versão mais recente do AVideo (superior a 26.0) assim que estiver disponível. Se não puder atualizar, implemente medidas de segurança adicionais em seu banco de dados.
Atualmente, não há uma correção oficial fornecida pela equipe AVideo. Fique atento às atualizações.
Restrinja o acesso ao banco de dados, implemente firewalls de banco de dados e monitore a atividade do banco de dados.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.