CRITICAL🇬🇧 English

CVE-2026-21875

Blind SQL Injection w ClipBucket v5 — sekcja komentarzy kanału

CVSS 9.8v3.1pub. 2026-01-08upd. 2026-01-27

ClipBucket v5 w wersjach 5.5.2-#187 i wcześniejszych zawiera podatność typu Blind SQL Injection w mechanizmie dodawania komentarzy do kanału. Brak walidacji danych wejściowych pozwala nieuwierzytelnionemu atakującemu na manipulację zapytaniami bazodanowymi i ekstrakcję wrażliwych danych.

Pokaż oryginał (EN)

ClipBucket v5 is an open source video sharing platform. Versions 5.5.2-#187 and below allow an attacker to perform Blind SQL Injection through the add comment section within a channel. When adding a comment within a channel, there is a POST request to the /actions/ajax.php endpoint. The obj_id parameter within the POST request to /actions/ajax.php is then used within the user_exists function of the upload/includes/classes/user.class. php file as the $id parameter. It is then used within the count function of the upload/includes/classes/db.class. php file. The $id parameter is concatenated into the query without validation or sanitization, and a user-supplied input like 1' or 1=1-- - can be used to trigger the injection. This issue does not have a fix at the time of publication.

🤖 Analiza AI
Jak działa

Podczas dodawania komentarza w kanale aplikacja wysyła żądanie POST do endpointu /actions/ajax.php. Parametr obj_id z tego żądania jest przekazywany bezpośrednio do funkcji user_exists w pliku upload/includes/classes/user.class.php jako zmienna $id, a następnie do funkcji count w pliku upload/includes/classes/db.class.php. Parametr $id jest konkatenowany bezpośrednio do zapytania SQL bez żadnej walidacji ani sanityzacji wejścia. Atakujący może dostarczyć payload w stylu '1' or 1=1-- -', co wywołuje wstrzyknięcie w trybie ślepym (Blind SQL Injection), umożliwiając odczyt danych z bazy przez analizę zachowania aplikacji.

Skutki

Nieuwierzytelniony atakujący zdalnie może uzyskać nieuprawniony dostęp do zawartości bazy danych, w tym danych użytkowników, haseł i innych poufnych informacji, a potencjalnie również zmodyfikować lub usunąć dane aplikacji.

Mitygacja

W chwili publikacji podatność nie posiadała dostępnej poprawki. Należy śledzić repozytorium projektu pod adresem https://github.com/MacWarrior/clipbucket-v5 i zastosować patch niezwłocznie po jego udostępnieniu. Do czasu wydania poprawki zaleca się ograniczenie dostępu do endpointu /actions/ajax.php (np. przez firewall aplikacyjny WAF) oraz rozważenie tymczasowego wyłączenia funkcji komentowania w kanałach.

Kogo dotyczy

ClipBucket v5 w wersjach 5.5.2-#187 i niższych (platforma open source do udostępniania wideo).

Uwagi

Zgodnie z opisem producenta w momencie publikacji CVE (2026-01-08) nie istnieje żadna oficjalna poprawka dla tej podatności. Podatność została ujawniona w ramach GitHub Security Advisory GHSA-crpv-fmc4-j392.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Oxygenz Clipbucket

    APP
    Oxygenz
    5.3 – 5.5.2-191 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-25728CRITICAL9.3PL ✓ten sam produkt

TOCTOU Race Condition w ClipBucket umożliwia wykonanie kodu PHP

CVE-2025-67418CRITICAL9.8PL ✓ten sam produkt

ClipBucket 5.5.2 — hardcoded domyślne dane logowania w panelu admina

CVE-2025-21624CRITICAL9.8PL ✓ten sam produkt

ClipBucket V5 — nieograniczony upload plików PHP przez funkcję playlist

CVE-2024-54135CRITICAL9.8PL ✓ten sam produkt

PHP Deserialization w ClipBucket V5 — zdalne wykonanie kodu

CVE-2024-54136CRITICAL9.8PL ✓ten sam produkt

PHP Deserialization w ClipBucket V5 umożliwia zdalne wykonanie kodu