CRITICALCVE-2026-34374CVSS 9.1

AVideo SQL 注入漏洞 (CVE-2026-34374) 影响版本

Q: CVE-2026-34374 是什么 — AVideo 中的 SQL Injection？

AVideo是一个开源视频平台，允许用户创建、共享和观看视频。

Q: AVideo 中的 CVE-2026-34374 是否会影响我？

此漏洞允许进行SQL注入，这可能允许攻击者访问敏感信息或控制数据库。

Q: 如何修复 AVideo 中的 CVE-2026-34374？

您应该尽快升级到AVideo的最新版本（高于26.0）。如果无法升级，请在您的数据库中实施额外的安全措施。

Q: CVE-2026-34374 是否正在被积极利用？

目前，AVideo团队没有提供官方修复程序。请随时关注更新。

Q: 在哪里可以找到 AVideo 关于 CVE-2026-34374 的官方安全通告？

限制数据库访问，实施数据库防火墙并监控数据库活动。

平台

php

组件

avideo

修复版本

26.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-34374 描述了 AVideo 中的一个 SQL 注入漏洞。该漏洞发生在 Live_schedule::keyExists() 方法中，该方法未对用户提供的输入进行参数化处理。受影响的版本为 ≤ 26.0。没有官方补丁可用。

影响与攻击场景

AVideo开源视频平台中的CVE-2026-34374漏洞存在于Liveschedule::keyExists()方法中。受影响的版本包括26.0及更早版本。问题在于没有正确参数化地构建SQL查询。具体来说，流密钥被直接插入到查询字符串中，从而允许SQL注入。虽然调用函数LiveTransmition::keyExists()对其自身的查询使用了参数化查询，但到Liveschedule::keyExists()的备用路径没有这样做。攻击者可以利用此漏洞在底层数据库上执行任意SQL代码，从而可能损害数据完整性和保密性。CVSS评分已评为9.1，表明存在严重风险。缺乏可用的修复程序加剧了这种情况，需要立即关注。

利用背景

利用CVE-2026-34374需要攻击者能够影响Liveschedule::keyExists()函数中使用的输入。这可能通过各种途径发生，例如操纵HTTP请求参数或将恶意数据注入到数据库中。当LiveTransmition::keyExists()无法找到结果并回退到Liveschedule::keyExists()时，会触发此漏洞。攻击者可以创建输入以强制此回退路径，从而允许他们注入SQL代码。利用的有效性将取决于数据库配置和AVideo应用程序使用的数据库用户权限。缺乏官方修复程序增加了利用的风险，尤其是在数据库安全不稳固的环境中。

哪些人处于风险中翻译中…

Organizations utilizing AVideo version 26.0 or earlier, particularly those hosting the platform on shared hosting environments or with limited security controls, are at significant risk. Deployments relying on legacy configurations or custom integrations that interact with the Live_schedule::keyExists() method are also particularly vulnerable.

检测步骤翻译中…

• php: Examine application logs for SQL errors or unusual database activity related to the Live_schedule::keyExists() method. Use a code scanner to identify instances of string concatenation used to build SQL queries. • generic web: Monitor access logs for requests to endpoints associated with live scheduling functionality. Look for unusual characters or patterns in the request parameters that might indicate an injection attempt. • database (mysql): Use mysql -e 'SHOW PROCESSLIST;' to monitor active database connections and identify any suspicious queries being executed. Review slow query logs for queries that take an unusually long time to execute, which could indicate an injection attack.

攻击时间线

2026-03-27Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.04% (11% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件avideo

供应商WWBN

影响范围修复版本

<= 26.0 – <= 26.026.0.1

弱点分类 (CWE)

CWE-89

时间线

已保留2026-03-27
发布日期2026-03-27
EPSS 更新日期2026-04-04

未修复 — 披露已58天

缓解措施和替代方案

由于AVideo团队没有提供官方修复程序，因此即时缓解措施是避免使用26.0之前的AVideo版本。如果无法升级，强烈建议在数据库环境中实施额外的安全措施。这可能包括限制AVideo应用程序的数据库访问权限、实施数据库防火墙以限制网络流量以及监控数据库活动以查找可疑模式。此外，应审查Live_schedule::keyExists()的源代码，并对SQL查询应用适当的参数化。使用AVideo的用户应联系开发团队请求修复程序，并随时了解任何安全更新。

修复方法

将 AVideo 更新到已修补的版本，该版本修复了 SQL 注入漏洞。由于发布时没有可用的已修补版本，建议监视 WWBN 的安全更新并在可用时应用补丁。作为临时措施，可以在将流密钥插入 SQL 查询之前实施严格的流密钥验证。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-34374 是什么 — AVideo 中的 SQL Injection？