Plataforma
php
Componente
wwbn/avideo
Corregido en
26.0.1
26.0.1
Se ha descubierto una vulnerabilidad de Server-Side Request Forgery (SSRF) en el plugin AVideo Live wwbn/avideo, específicamente en el archivo saveDVR.json.php. Esta vulnerabilidad permite a un atacante realizar solicitudes a recursos internos del servidor, potencialmente exponiendo información sensible o permitiendo el acceso a servicios no expuestos públicamente. La vulnerabilidad afecta a versiones del plugin iguales o inferiores a 26.0 y se corrige en la versión 26.0.
La vulnerabilidad SSRF en AVideo Live Plugin permite a un atacante, sin necesidad de autenticación, manipular la URL utilizada por filegetcontents() para acceder a recursos internos del servidor. Esto podría incluir la lectura de archivos de configuración, el acceso a bases de datos internas o la interacción con otros servicios que no deberían ser accesibles desde el exterior. Un atacante podría, por ejemplo, escanear la red interna en busca de servicios vulnerables o utilizar el servidor como punto de partida para ataques más amplios. El impacto potencial es significativo, pudiendo comprometer la confidencialidad, integridad y disponibilidad de los sistemas afectados.
La vulnerabilidad CVE-2026-33351 fue publicada el 2026-03-19. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. La existencia de un archivo PHP con una función filegetcontents() sin validación de entrada es un patrón común en vulnerabilidades SSRF, similar a otros casos observados en el pasado.
Organizations utilizing the AVideo Live plugin in standalone mode are particularly at risk. This includes deployments where the plugin is used to stream live video content and requires direct access to internal resources for configuration or data storage. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised plugin instance could potentially be used to attack other users on the same server.
• php: Examine access logs for requests to plugin/Live/standAloneFiles/saveDVR.json.php with unusual values in the webSiteRootURL parameter. Look for requests using protocols like file:// or gopher://.
grep 'saveDVR.json.php.*webSiteRootURL=' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with a crafted webSiteRootURL parameter pointing to an internal resource. Verify that the server attempts to access the resource.
curl 'http://your-avideo-server/plugin/Live/standAloneFiles/saveDVR.json.php?webSiteRootURL=http://localhost/sensitive_data' -sdisclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin AVideo Live a la versión 26.0 o superior, donde se ha corregido el problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la URL saveDVR.json.php a través de un firewall o proxy. Además, se debe revisar y endurecer la configuración del servidor para minimizar el impacto potencial de una explotación exitosa. Después de la actualización, confirme la corrección revisando los logs del servidor en busca de intentos de solicitudes sospechosas.
Actualice AVideo a la versión 26.0 o superior. Esta versión contiene una corrección para la vulnerabilidad SSRF en el plugin Live.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33351 is a critical SSRF vulnerability in the AVideo Live plugin, allowing attackers to make server-side requests to arbitrary resources. Versions affected are those prior to 26.0.
You are affected if you are using the AVideo Live plugin in standalone mode and are running a version prior to 26.0.
Upgrade the AVideo Live plugin to version 26.0 or later. As a temporary workaround, implement a WAF rule to block suspicious webSiteRootURL values.
While no confirmed exploitation is currently reported, the ease of exploitation suggests a high probability of active scanning and potential attacks.
Refer to the official AVideo security advisory for detailed information and updates regarding CVE-2026-33351.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.