Plataforma
php
Componente
wwbn/avideo
Corregido en
26.0.1
25.0.1
La vulnerabilidad CVE-2026-33292 es un ataque de recorrido de directorio (Path Traversal) descubierto en wwbn/avideo, afectando versiones hasta la 25.0. Un atacante no autenticado puede aprovechar esta falla para acceder y reproducir videos privados o de pago en la plataforma. La vulnerabilidad se debe a una divergencia en el manejo del parámetro videoDirectory, permitiendo el acceso no autorizado al contenido. La solución es actualizar a la versión 26.0.
Este ataque de recorrido de directorio permite a un atacante eludir los mecanismos de autorización de wwbn/avideo y acceder directamente a archivos de video almacenados en el servidor. El atacante puede manipular el parámetro videoDirectory en la solicitud HTTP para incluir secuencias de .. que le permitan navegar fuera del directorio esperado y acceder a videos que normalmente estarían protegidos. El impacto principal es la exposición de contenido sensible, como videos privados o de pago, lo que puede resultar en pérdidas económicas para el proveedor del servicio y una violación de la privacidad de los usuarios. La falta de autenticación necesaria para explotar la vulnerabilidad amplía significativamente el alcance del riesgo, ya que cualquier persona con acceso a la URL vulnerable puede explotarla.
La vulnerabilidad CVE-2026-33292 fue publicada el 19 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA ni la existencia de pruebas de concepto (PoC) públicas activas al momento de la publicación. Sin embargo, la naturaleza sencilla de la vulnerabilidad sugiere que podría ser explotada fácilmente una vez que se disponga de un PoC. Se recomienda monitorear activamente los sistemas afectados para detectar cualquier actividad sospechosa.
Organizations utilizing wwbn/avideo for video streaming, particularly those with private or paid content, are at risk. Shared hosting environments where multiple users share the same instance of wwbn/avideo are especially vulnerable, as an attacker could potentially exploit this vulnerability to access content belonging to other users.
• php: Examine access logs for requests containing .. sequences in the videoDirectory parameter of the view/hls.php endpoint.
• php: Search for code patterns related to divergent path handling of the videoDirectory parameter, specifically where one path truncates at / and another preserves .. sequences.
• generic web: Use curl to test for path traversal by appending ../ sequences to the videoDirectory parameter and observing the response.
curl 'http://your-avideo-instance/view/hls.php?videoDirectory=../../../../etc/passwd'disclosure
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
Vector CVSS
La solución definitiva es actualizar wwbn/avideo a la versión 26.0, que corrige la vulnerabilidad. Mientras tanto, se pueden implementar medidas de mitigación temporales. Una opción es restringir el acceso al endpoint view/hls.php solo a direcciones IP autorizadas o usuarios autenticados. Otra medida es implementar una validación más estricta del parámetro videoDirectory, eliminando cualquier secuencia de .. o caracteres especiales que puedan indicar un intento de recorrido de directorio. Se recomienda también configurar un Web Application Firewall (WAF) para detectar y bloquear solicitudes maliciosas que intenten explotar esta vulnerabilidad. Después de la actualización, confirme la corrección revisando los logs de acceso y asegurándose de que las solicitudes de video no autorizadas son bloqueadas.
Actualice AVideo a la versión 26.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal en el endpoint HLS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33292 is a Path Traversal vulnerability in wwbn/avideo that allows unauthenticated access to private videos due to a split-oracle condition in the videoDirectory parameter.
You are affected if you are using wwbn/avideo version 25.0 or earlier. Upgrade to version 26.0 to mitigate the vulnerability.
The recommended fix is to upgrade to version 26.0 of wwbn/avideo. As a temporary workaround, implement a WAF rule to filter requests containing .. sequences.
As of the current disclosure date, there are no confirmed reports of active exploitation, but the vulnerability's simplicity suggests a potential for rapid exploitation.
Refer to the official wwbn/avideo security advisory for detailed information and updates regarding CVE-2026-33292.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.