Vulnerabilidad en AVideo de WWBN (CVE-2026-28501)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

06/03/2026

Última modificación:

16/03/2026

Descripción

WWBN AVideo es una plataforma de video de código abierto. Antes de la versión 24.0, existe una vulnerabilidad de inyección SQL no autenticada en AVideo dentro de los componentes objects/videos.json.php y objects/video.php. La aplicación no logra sanear correctamente el parámetro catName cuando se suministra a través de un cuerpo de solicitud POST con formato JSON. Debido a que la entrada JSON se analiza y se fusiona en $_REQUEST después de que se ejecutan las comprobaciones de seguridad globales, la carga útil omite los mecanismos de saneamiento existentes. Este problema ha sido parcheado en la versión 24.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto