Plattform
php
Komponente
wwbn/avideo
Behoben in
26.0.1
26.0.1
CVE-2026-33867 describes a critical security vulnerability in AVideo, a video platform, where video passwords are stored in plaintext within the database. This lack of encryption allows attackers with database access to easily retrieve all video passwords, compromising user privacy and content security. The vulnerability affects AVideo version 26.0 and earlier. Currently, there is no official patch available to address this issue.
CVE-2026-33867 in AVideo stellt ein erhebliches Risiko für passwortgeschützte Videos dar. Das System speichert die Videopasswörter direkt in der Datenbank, ohne Verschlüsselung, Hashing oder Salting anzuwenden. Das bedeutet, dass ein Angreifer, der Zugriff auf die Datenbank erhält – sei es durch SQL-Injection, eine kompromittierte Sicherung oder falsch konfigurierte Zugriffskontrollen –, alle Videopasswörter im Klartext abrufen kann. Der Schaden ist erheblich, da er unbefugten Zugriff auf geschützten Inhalt ermöglicht und die Privatsphäre und Sicherheit von Benutzern und Inhaltsanbietern gefährdet. Das Fehlen eines verfügbaren Patches verschärft die Situation und erfordert sofortige Abhilfemaßnahmen.
Die Ausnutzung dieser Schwachstelle erfordert Zugriff auf die AVideo-Datenbank. Ein Angreifer könnte versuchen, SQL-Injection einzusetzen, um Abfragen zu manipulieren und Passwörter direkt zu extrahieren. Die Kompromittierung einer ungeschützten Datensicherung könnte ebenfalls ein Vektor sein. Falsche Datenbankberechtigungs-Konfigurationen, die unbefugten Zugriff ermöglichen, könnten ebenfalls ausgenutzt werden. Sobald der Angreifer Zugriff auf die Datenbank hat, kann er die Videopasswörter im Klartext lesen, was ihm ermöglicht, auf geschützten Inhalt zuzugreifen, ohne das tatsächliche Passwort zu benötigen.
Content owners and platforms utilizing wwbn/avideo to manage and protect video content are at significant risk. Specifically, those relying on the default password protection mechanism without implementing additional security measures are most vulnerable. Shared hosting environments where multiple users share a database are also at increased risk.
• php: Examine the objects/video.php file for the vulnerable setVideo_password function. Search database tables for plaintext video password storage.
grep -r 'video_password' /path/to/avideo/objects/• database (mysql): Query the database to check for plaintext video passwords.
SELECT video_password FROM videos WHERE video_password IS NOT NULL AND video_password != '';• generic web: Monitor database access logs for unusual activity or unauthorized access attempts.
disclosure
Exploit-Status
EPSS
0.01% (3% Perzentil)
CISA SSVC
Da es keinen offiziellen Patch für CVE-2026-33867 gibt, konzentriert sich die unmittelbare Abhilfe auf die Sicherung der AVideo-Datenbank. Es wird dringend empfohlen, den Datenbankzugriff durch strenge Zugriffskontrollen einzuschränken und die Sicherheitseinstellungen zu überprüfen, um Schwachstellen wie SQL-Injection zu vermeiden. Regelmäßige Überprüfung der Datensicherungen und Sicherstellung, dass diese vor unbefugtem Zugriff geschützt sind, ist entscheidend. Die Migration zu einer Video-Management-Lösung, die sichere Passwortspeicherung (Verschlüsselung, Salted Hashing) implementiert, ist eine langfristige Lösung. Die Überwachung der Datenbankaktivität auf verdächtigen Zugriff wird ebenfalls empfohlen.
Actualice AVideo a una versión posterior a la 26.0. Esto solucionará el problema del almacenamiento de contraseñas de video en texto plano. La actualización incluye un parche que implementa un método de almacenamiento más seguro para las contraseñas.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Beschränken Sie den Datenbankzugriff, überprüfen Sie die Sicherheitseinstellungen und ziehen Sie eine sicherere Lösung in Betracht.
Derzeit gibt es keinen offiziellen Patch für diese Schwachstelle.
Implementieren Sie strenge Zugriffskontrollen, überprüfen Sie Backups und überwachen Sie die Datenbankaktivität.
Es ist eine Angriffstechnik, die es Angreifern ermöglicht, Datenbankabfragen zu manipulieren, um vertrauliche Informationen zu erhalten.
Es bedeutet, dass die Passwörter weder verschlüsselt noch auf andere Weise geschützt sind, was sie leicht zugänglich macht, wenn die Datenbank kompromittiert wird.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.