CRITICAL🇬🇧 English

CVE-2026-34374

SQL Injection w WWBN AVideo — mechanizm uwierzytelniania RTMP

CVSS 9.1v3.1pub. 2026-03-27upd. 2026-03-31

WWBN AVideo w wersjach do 26.0 włącznie zawiera podatność typu SQL injection w ścieżce weryfikacji klucza strumieniowania RTMP. Atakujący nieuwierzytelniony zdalnie może manipulować zapytaniami do bazy danych, co stanowi poważne zagrożenie dla poufności i integralności danych.

Pokaż oryginał (EN)

WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `Live_schedule::keyExists()` method constructs a SQL query by interpolating a stream key directly into the query string without parameterization. This method is called as a fallback from `LiveTransmition::keyExists()` when the initial parameterized lookup returns no results. Although the calling function correctly uses parameterized queries for its own lookup, the fallback path to `Live_schedule::keyExists()` undoes this protection entirely. This vulnerability is distinct from GHSA-pvw4-p2jm-chjm, which covers SQL injection via the `live_schedule_id` parameter in the reminder function. This finding targets the stream key lookup path used during RTMP publish authentication. As of time of publication, no patched versions are available.

🤖 Analiza AI
Jak działa

Metoda `Live_schedule::keyExists()` buduje zapytanie SQL poprzez bezpośrednie wstawienie klucza strumieniowania (stream key) do treści zapytania bez użycia parametryzacji. Metoda ta jest wywoływana jako mechanizm awaryjny (fallback) z `LiveTransmition::keyExists()` — gdy właściwe, sparametryzowane zapytanie nie zwraca wyników, sterowanie przechodzi do podatnej ścieżki. W ten sposób zabezpieczenie zastosowane w funkcji wywołującej jest całkowicie neutralizowane przez niezabezpieczony fallback. Podatność jest odrębna od wcześniej zgłoszonej luki GHSA-pvw4-p2jm-chjm dotyczącej parametru `live_schedule_id`.

Skutki

Atakujący bez żadnego uwierzytelnienia może manipulować zapytaniami SQL kierowanymi do bazy danych, co może prowadzić do nieautoryzowanego odczytu lub modyfikacji danych przechowywanych przez platformę, w tym danych użytkowników i konfiguracji.

Mitygacja

Według informacji dostępnych w momencie publikacji nie istnieje jeszcze wersja z poprawką. Należy śledzić repozytorium projektu oraz advisory producenta pod adresem https://github.com/WWBN/AVideo/security/advisories/GHSA-xgv5-66wp-ch88 i zastosować patche niezwłocznie po ich udostępnieniu. Do czasu pojawienia się patcha zaleca się ograniczenie dostępu do punktów końcowych RTMP za pomocą firewall oraz reguł sieciowych.

Kogo dotyczy

WWBN AVideo w wersjach do 26.0 włącznie.

Uwagi

W momencie publikacji CVE (2026-03-27) producent nie udostępnił jeszcze wersji zawierającej poprawkę. Podatność jest odrębna od wcześniej ujawnionej luki GHSA-pvw4-p2jm-chjm w tym samym produkcie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Wwbn Avideo

    APP
    Wwbn
    ≤ 26.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-41064CRITICAL9.3PL ✓ten sam produkt

WWBN AVideo — niekompletna naprawa command injection w test.php

CVE-2026-40911CRITICAL10.0PL ✓ten sam produkt

WWBN AVideo: RCE przez eval() w pluginie YPTSocket — przejęcie kont

CVE-2026-33867CRITICAL9.1PL ✓ten sam produkt

WWBN AVideo: hasła do filmów przechowywane w bazie jako plaintext

CVE-2026-33351CRITICAL9.1PL ✓ten sam produkt

SSRF w WWBN AVideo — brak walidacji parametru URL w saveDVR.json.php

CVE-2026-33478CRITICAL10.0PL ✓ten sam produkt

RCE bez uwierzytelnienia w WWBN AVideo — łańcuch podatności w pluginie CloneSite