平台
php
组件
wwbn/avideo
修复版本
24.0.1
21.0.1
AVideo 组件中存在一个未经身份验证的 SQL 注入漏洞,位于 objects/videos.json.php 和 objects/video.php 组件中。由于 JSON 输入在全局安全检查后被解析并合并到 $_REQUEST 中,导致攻击者可以绕过现有的 sanitization 机制。此漏洞允许攻击者执行任意 SQL 查询,从而导致敏感数据泄露。
该 SQL 注入漏洞的影响非常严重。攻击者可以利用此漏洞执行任意 SQL 查询,从而完全导出数据库内容。这意味着攻击者可以访问和窃取存储在数据库中的所有敏感数据,包括管理员用户名和密码、用户数据以及其他机密信息。攻击者甚至可能利用此漏洞修改数据库中的数据,导致数据损坏或服务中断。由于漏洞无需身份验证,攻击者可以匿名地利用此漏洞,增加了攻击的风险。
该漏洞已于 2026 年 3 月 2 日公开披露。目前尚无公开的 PoC 代码,但由于漏洞的严重性和易利用性,预计可能会出现公开的利用代码。建议密切关注安全社区的动态,并及时采取措施。
Organizations utilizing AVideo versions prior to 24.0, particularly those with publicly accessible instances or those handling sensitive user data, are at significant risk. Shared hosting environments where multiple users share the same AVideo installation are also particularly vulnerable, as a compromise of one user's account could potentially lead to database access for all users.
• php / web:
curl -X POST -d '{"catName: "'$(python3 -c 'print("'; DROP TABLE users;--")')'"}' http://your-avideo-server/objects/videos.json.php• generic web:
grep -i "DROP TABLE" /var/log/apache2/access.log• generic web:
grep -i "SELECT * FROM" /var/log/apache2/error.logdisclosure
漏洞利用状态
EPSS
0.04% (10% 百分位)
CISA SSVC
为了缓解此漏洞,建议立即升级到 24.0 版本或更高版本。如果无法立即升级,可以尝试以下临时缓解措施:严格限制对 objects/videos.json.php 和 objects/video.php 组件的访问,并实施严格的输入验证和过滤规则。使用 Web 应用防火墙 (WAF) 规则来检测和阻止恶意 SQL 注入攻击。监控数据库日志,以检测任何异常活动。在升级后,请验证漏洞是否已成功修复,可以通过尝试注入恶意 SQL 代码来确认。
将AVideo升级到版本24.0或更高版本。此版本修复了未经身份验证的(SQL Injection)漏洞。可以通过管理面板或下载软件的最新版本进行升级。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-28501 是 AVideo 组件中一个未经身份验证的 SQL 注入漏洞,允许攻击者执行任意 SQL 查询,导致敏感数据泄露。
如果您的 AVideo 版本低于 21.0.0,则您可能受到此漏洞的影响。请立即检查您的版本并升级。
建议升级到 24.0 版本或更高版本以修复此漏洞。如果无法升级,请实施临时缓解措施,如限制访问和实施输入验证。
虽然目前尚无公开的利用代码,但由于漏洞的严重性和易利用性,预计可能会出现公开的利用代码。
请查阅 AVideo 官方网站或安全公告页面,以获取有关此漏洞的官方公告和修复信息。
CVSS 向量