Plataforma
php
Componente
wwbn/avideo
Corregido en
26.0.1
26.0
Esta vulnerabilidad de SSRF (Server-Side Request Forgery) afecta a wwbn/avideo en versiones 25.0 y anteriores. Un atacante con privilegios de administrador puede configurar tareas programadas con URLs de callback internas, permitiendo el acceso no autorizado a recursos internos. La vulnerabilidad se encuentra en la función run() del plugin Scheduler, donde la validación de la URL de callback es insuficiente. La actualización a la versión 26.0 soluciona este problema.
La vulnerabilidad de SSRF permite a un atacante, con privilegios de administrador, realizar solicitudes HTTP arbitrarias desde el servidor. Esto puede resultar en la exposición de información sensible, como credenciales almacenadas en memoria, datos de configuración o acceso a servicios internos. Un atacante podría, por ejemplo, acceder a metadatos de la nube o realizar solicitudes a servicios internos que no deberían ser accesibles desde el exterior. El impacto potencial es significativo, especialmente en entornos donde la seguridad de la red interna depende de la correcta configuración de los firewalls y controles de acceso.
Esta vulnerabilidad fue publicada el 19 de marzo de 2026. No se han reportado explotaciones activas en la actualidad. La vulnerabilidad se considera de probabilidad media, dada la necesidad de privilegios de administrador para su explotación. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar wwbn/avideo a la versión 26.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda revisar y restringir las URLs de callback configuradas en las tareas programadas. Implementar reglas en un Web Application Firewall (WAF) o proxy para bloquear solicitudes a URLs internas o a servicios de metadatos de la nube puede ayudar a reducir el riesgo. Además, se debe auditar la configuración de las tareas programadas para identificar posibles configuraciones erróneas.
Actualice el plugin Scheduler de AVideo a la versión 26.0 o superior. Esta versión incluye una validación adecuada (`isSSRFSafeURL()`) para la URL de callback, previniendo así ataques de SSRF.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33237 is a Server-Side Request Forgery (SSRF) vulnerability in the wwbn/avideo Scheduler plugin, allowing attackers to make unauthorized requests through the application.
You are affected if you are running wwbn/avideo versions 25.0 or earlier. Check your version using ./avideo --version.
Upgrade to wwbn/avideo version 26.0 or later. If immediate upgrade is not possible, implement WAF rules to block malicious URLs.
There are currently no reports of active exploitation, but the vulnerability's nature suggests potential for automated attacks.
Refer to the official wwbn/avideo security advisory for CVE-2026-33237 on their project website or GitHub repository.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.