CVE-2026-28501

Nome do Software Vulnerável e Versões Afetadas AVideo versões anteriores a 23

Descrição O software contém uma falha de injeção SQL não autenticada nos componentes objects/videos.json.php e objects/video.php. A aplicação não sanitiza adequadamente o parâmetro catName quando recebido em uma solicitação POST formatada em JSON, contornando os controles de segurança existentes. Isso permite que um atacante execute consultas SQL arbitrárias, possivelmente levando à exfiltração do banco de dados, extração de dados sensíveis como nomes de usuário e hashes de senhas de administradores, elevação de privilégios e comprometimento total do sistema. O problema é categorizado como CWE-89: Neutralização Imprópria de Elementos Especiais Utilizados em um Comando SQL (Injeção SQL).

Recomendações Atualize para a versão 23 ou posterior.