Plataforma
php
Componente
wwbn/avideo
Corregido en
26.0.1
26.0.1
Se ha identificado una vulnerabilidad de Path Traversal en el componente wwbn/avideo, específicamente en el endpoint objects/import.json.php. Esta falla de seguridad permite a usuarios autenticados con permisos de carga, eludir las restricciones de directorio y acceder a archivos sensibles en el sistema de archivos. La vulnerabilidad afecta a versiones de wwbn/avideo hasta la 26.0 y requiere autenticación para su explotación.
Un atacante autenticado puede explotar esta vulnerabilidad para leer archivos arbitrarios en el sistema de archivos del servidor. Esto incluye la posibilidad de robar archivos de video privados de otros usuarios, acceder a archivos de texto, HTML o HTM adyacentes a archivos MP4, y potencialmente obtener información confidencial almacenada en estos archivos. El impacto se amplifica si el servidor aloja información sensible o si los archivos de video contienen metadatos confidenciales. La falta de validación adecuada del parámetro fileURI es la causa principal de esta vulnerabilidad.
Esta vulnerabilidad fue publicada el 2026-03-20. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace susceptible a escaneo automatizado. La falta de una versión corregida disponible aumenta el riesgo. Se recomienda monitorear activamente los sistemas afectados.
Organizations using wwbn/avideo for video management, particularly those with shared hosting environments or legacy configurations, are at risk. Users with upload permissions within the application are especially vulnerable, as they are the ones who can exploit this vulnerability to access sensitive files.
• php / server:
grep -r 'fileURI' /var/www/avideo/• php / server:
find /var/www/avideo/ -name 'import.json.php'• generic web:
curl -I http://your-avideo-server/objects/import.json.php?fileURI=../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.08% (23% percentil)
CISA SSVC
Vector CVSS
La mitigación inmediata implica reforzar la validación de entrada en el endpoint objects/import.json.php. Implemente una validación estricta del parámetro fileURI para asegurar que solo se permitan rutas dentro del directorio de videos. Además, considere la implementación de restricciones de directorio utilizando la función realpath() para evitar la manipulación de rutas. Una vez que la versión corregida esté disponible, actualice wwbn/avideo a esa versión. Mientras tanto, monitoree los logs del servidor en busca de intentos de acceso a archivos no autorizados.
Actualice AVideo a una versión posterior a la 26.0. La vulnerabilidad se soluciona en el commit e110ff542acdd7e3b81bdd02b8402b9f6a61ad78. Esto evitará el recorrido de directorios y la posible lectura/eliminación de archivos arbitrarios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33493 is a Path Traversal vulnerability in wwbn/avideo versions 26.0 and earlier, allowing authenticated users to read arbitrary files.
You are affected if you are using wwbn/avideo version 26.0 or earlier and have not yet applied a patch.
Upgrade to a patched version of wwbn/avideo as soon as it becomes available. Until then, implement WAF rules or restrict access to the vulnerable endpoint.
No active exploitation has been confirmed at this time, but the vulnerability's ease of exploitation suggests it could become a target.
Please refer to the wwbn/avideo security advisories page for updates and official information regarding CVE-2026-33493.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.