Plataforma
php
Componente
wwbn/avideo
Corregido en
26.0.1
25.0.1
Se ha identificado una vulnerabilidad de Path Traversal en el componente wwbn/avideo, específicamente en el archivo plugin/CloneSite/cloneServer.json.php. Esta falla permite a un atacante con credenciales de clonación válidas eliminar archivos arbitrarios en el servidor, comprometiendo la integridad del sistema. La vulnerabilidad afecta a versiones de wwbn/avideo iguales o inferiores a la 25.0, y se ha solucionado en la versión 26.0.
La vulnerabilidad de Path Traversal en wwbn/avideo permite a un atacante, una vez autenticado con credenciales de clonación, manipular la ruta de archivo utilizada en la función unlink(). Al inyectar secuencias de path traversal como ../../, el atacante puede acceder y eliminar archivos fuera del directorio clones/ previsto. Esto incluye archivos de configuración críticos como configuration.php, lo que puede resultar en una denegación de servicio completa al inutilizar la aplicación. Además, la eliminación de archivos de seguridad esenciales podría abrir la puerta a ataques posteriores, permitiendo al atacante escalar privilegios o comprometer aún más el sistema. La falta de validación de la entrada del parámetro deleteDump es la causa raíz de esta vulnerabilidad.
La vulnerabilidad CVE-2026-33293 fue publicada el 19 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA ni la existencia de pruebas de concepto (PoC) públicas activas al momento de la publicación. Sin embargo, dada la naturaleza de la vulnerabilidad de Path Traversal, existe un riesgo potencial de explotación si se vuelve pública y se desarrollan herramientas de ataque. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations utilizing wwbn/avideo versions 25.0 and earlier, particularly those with publicly accessible clone functionality, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to impact other users' data and configurations.
• wordpress / composer / npm:
grep -r 'unlink($_GET["deleteDump"]);' /var/www/avideo/• generic web:
curl -I 'http://your-avideo-site.com/plugin/CloneSite/cloneServer.json.php?deleteDump=../../../../etc/passwd' | grep '403 Forbidden'disclosure
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33293 es actualizar wwbn/avideo a la versión 26.0 o superior, donde se ha corregido la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda restringir el acceso al archivo plugin/CloneSite/cloneServer.json.php a usuarios autenticados y de confianza. Implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de path traversal (e.g., ../../) en el parámetro deleteDump puede proporcionar una capa adicional de protección. Monitorear los registros del servidor en busca de intentos de acceso o eliminación de archivos inusuales también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que no se pueden eliminar archivos arbitrarios utilizando secuencias de path traversal.
Actualice AVideo a la versión 26.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el plugin CloneSite, impidiendo la eliminación arbitraria de archivos en el servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33293 is a Path Traversal vulnerability affecting wwbn/avideo versions up to 25.0, allowing attackers to delete arbitrary files on the server.
You are affected if you are using wwbn/avideo version 25.0 or earlier. Upgrade to version 26.0 to resolve the vulnerability.
Upgrade to version 26.0 of wwbn/avideo. As a temporary workaround, restrict access to the vulnerable file and implement WAF rules.
As of now, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the official wwbn/avideo security advisory for detailed information and updates regarding CVE-2026-33293.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.