CVE-2026-33352 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WWBN AVideo 视频平台存在 **SQL注入** 漏洞。 💥 **后果**：攻击者可非法获取数据库敏感信息，甚至篡改或删除数据，严重威胁系统完整性。

🔍 **CWE**：CWE-89 (SQL注入)。 📍 **缺陷点**：`objects/category.php` 文件中的 `getAllCategories` 方法。 ⚠️ **原因**：`doNotShowCats` 参数仅移除单引号，**清理逻辑存在缺陷**，易被绕过。

📦 **厂商**：WWBN。 🎬 **产品**：AVideo (PHP视频建站系统)。 📉 **版本**：**26.0之前**的所有版本均受影响。

🕵️ **权限**：无需认证 (PR:N)。 📊 **数据**：可读取高敏感数据 (C:H)。 🛠️ **影响**：可修改数据 (I:H) 并导致服务不可用 (A:H)，**完全控制风险极高**。

🚪 **门槛**：**极低**。 🔑 **认证**：无需登录 (PR:N)。 🌐 **网络**：远程利用 (AV:N)。 🧠 **复杂度**：低 (AC:L)，无需用户交互 (UI:N)。

📜 **PoC**：官方披露中未提供现成Exploit代码 (pocs为空)。 🌍 **在野**：数据未显示已有大规模在野利用，但鉴于CVSS评分极高，需警惕。

🔎 **自查特征**：检查 `category.php` 中 `getAllCategories` 对 `doNotShowCats` 参数的处理。 🛡️ **扫描**：使用SQL注入扫描器针对该参数进行布尔盲注或报错注入测试。

✅ **已修复**：官方已发布安全建议 (GHSA-mcj5-6qr4-95fj)。 🔧 **补丁**：通过特定Commit (206d38e) 修复了参数清理逻辑，建议升级至最新版本。

🛡️ **临时规避**：若无法立即升级，需手动审查并加固 `category.php` 代码。 🚫 **措施**：使用**预编译语句 (Prepared Statements)** 替代字符串拼接，彻底杜绝注入。

🔥 **优先级**：**紧急**。 📈 **评分**：CVSS 3.1 满分附近 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。 ⚡ **建议**：立即规划升级或应用代码级修复，防止数据泄露。