Vulnerabilidad en AVideo de WWBN (CVE-2026-33352)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

23/03/2026

Última modificación:

23/03/2026

Descripción

WWBN AVideo es una plataforma de video de código abierto. Antes de la versión 26.0, existe una vulnerabilidad de inyección SQL no autenticada en objects/category.php, en el método getAllCategories(). El parámetro de solicitud doNotShowCats se sanea solo eliminando caracteres de comilla simple (str_replace(&#39;&#39;&#39;, &#39;&#39;, ...)), pero esto se elude trivialmente utilizando una técnica de escape con barra invertida para desplazar los límites de la cadena SQL. El parámetro no está cubierto por ninguno de los filtros de entrada globales de la aplicación en objects/security.php. La versión 26.0 contiene un parche para el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto