Plataforma
php
Componente
avideo
Corregido en
26.0
CVE-2026-33238 describe una vulnerabilidad de Path Traversal en AVideo, una plataforma de video de código abierto. Esta vulnerabilidad permite a un atacante autenticado enumerar archivos .mp4 en todo el sistema de archivos del servidor, incluso en directorios privados. Afecta a las versiones de AVideo anteriores a la 26.0, y una solución está disponible en la versión 26.0.
La vulnerabilidad de Path Traversal en AVideo permite a un atacante autenticado, con acceso de carga, manipular el parámetro path en el endpoint listFiles.json.php. Al proporcionar rutas absolutas arbitrarias, el atacante puede eludir las restricciones de directorio y utilizar la función glob() para enumerar archivos .mp4 en cualquier ubicación del sistema de archivos. Esto incluye directorios fuera del directorio raíz web, como directorios privados o de contenido premium, comprometiendo la confidencialidad de los archivos multimedia. La exposición de rutas de archivos puede facilitar la identificación de otros recursos sensibles en el servidor.
Este CVE fue publicado el 2026-03-20. No se ha registrado en el KEV de CISA ni se han identificado campañas de explotación activas. La vulnerabilidad se basa en una falta de validación de entrada, un patrón común en vulnerabilidades de Path Traversal. No se han encontrado pruebas públicas de PoC, pero la naturaleza de la vulnerabilidad sugiere que es relativamente fácil de explotar una vez que se tiene acceso autenticado.
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33238 es actualizar AVideo a la versión 26.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar reglas de firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan rutas absolutas en el parámetro path. Además, revise y refuerce los permisos de acceso a los directorios del servidor para limitar el impacto potencial de la enumeración de archivos. Verifique después de la actualización que el endpoint listFiles.json.php no permita la manipulación de rutas.
Actualice AVideo a la versión 26.0 o superior para mitigar la vulnerabilidad de recorrido de directorio. La actualización corrige la falta de validación de la ruta en el endpoint `listFiles.json.php`, evitando que atacantes accedan a archivos sensibles en el sistema de archivos del servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33238 is a vulnerability in WWBN AVideo versions before 26.0 that allows authenticated users to traverse the server's filesystem via the listFiles.json.php endpoint, potentially exposing sensitive files.
You are affected if you are running WWBN AVideo version 0.0.0 through 25.9. Check your version and upgrade to 26.0 or later to mitigate the risk.
The recommended fix is to upgrade to WWBN AVideo version 26.0 or later. This version includes a patch that addresses the Path Traversal vulnerability.
Currently, there are no publicly known active exploitation campaigns targeting CVE-2026-33238, but it's crucial to apply the patch proactively.
Refer to the official WWBN AVideo security advisories on their website or GitHub repository for the most up-to-date information and patch details.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.