CVE-2026-34374 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WWBN AVideo 存在 **SQL注入** 漏洞。 💥 **后果**：攻击者可绕过安全机制，直接操作数据库，导致数据泄露或系统被控。

🔍 **CWE**：CWE-89 (SQL注入)。 📍 **缺陷点**：`Live_schedule::keyExists` 方法未对参数进行严格保护，导致恶意输入可拼接进 SQL 查询。

📦 **厂商**：WWBN。 🎯 **产品**：AVideo (PHP视频平台)。 ⚠️ **版本**：**26.0 及之前版本** 均受影响。

🔓 **权限**：高权限风险 (CVSS C:H, I:H)。 📊 **数据**：可读取、修改或删除数据库内容，甚至可能执行系统命令（取决于数据库配置）。

🚪 **门槛**：**低**。 🔑 **认证**：无需认证 (PR:N)。 🌐 **网络**：远程利用 (AV:N)。 🎭 **交互**：无需用户交互 (UI:N)。

🧪 **PoC**：当前数据中 **无** 公开 PoC。 🌍 **在野**：暂无在野利用报告。 🔗 **参考**：详见 GitHub 安全公告。

🔎 **自查**：检查 AVideo 版本是否 ≤ 26.0。 📡 **扫描**：使用 SQL 注入扫描器针对 `Live_schedule` 相关接口进行模糊测试。 📝 **日志**：监控数据库异常报错或慢查询。

🛡️ **官方**：已发布安全公告 (GHSA-xgv5-66wp-ch88)。 🔧 **修复**：建议升级至 **修复后的最新版本**，或应用官方提供的补丁。

🚧 **临时规避**： 1. 限制数据库账户权限（最小权限原则）。 2. 在 WAF 中拦截包含 SQL 关键字的异常请求。 3. 暂时禁用 `Live_schedule` 相关功能（如果非必需）。

⚡ **优先级**：**紧急**。 📈 **评分**：CVSS 3.1 高分 (Critical/High)。 📢 **建议**：立即升级或采取缓解措施，无需等待 PoC 公开。