CVE-2026-33767WWBN AVideo是一款开源视频平台。在26.0及以下版本中,`objects/like.php`文件的`getLike()`方法存在SQL注入漏洞。该方法虽然对`users_id`使用了预编译语句,但直接拼接了`videos_id`参数。攻击者可通过控制该参数注入任意SQL命令,导致数据泄露或篡改。
该漏洞的核心在于代码逻辑的不当实现。在受影响版本的`objects/like.php`文件中,`getLike()`函数负责处理视频点赞相关的数据库查询。开发人员虽然意识到了SQL注入的风险,并对`users_id`参数实施了预编译语句处理,使用了`?`作为占位符,从而有效封堵了该参数的注入点。然而,关键错误在于对`videos_id`参数的处理。代码直接将`$this->videos_id`变量拼接到SQL查询字符串中,完全依赖于客户端传入的数据。由于攻击者可以通过网络请求轻易控制`videos_id`的值,且无需复杂的用户交互(UI:N),只需低权限账号(PR:L)即可发起攻击。攻击者可以构造包含UNION SELECT、布尔盲注或基于时间的盲注Payload的请求,操纵后端数据库执行非预期的SQL命令。这可能导致敏感信息(如用户密码、管理员凭证)被窃取(C:H),数据被篡改(I:H),甚至导致数据库服务崩溃(A:H)。修复该漏洞需将`videos_id`也改为参数化查询。