Plataforma
php
Componente
wwbn/avideo
Corregido en
26.0.1
26.0.1
Se ha descubierto una vulnerabilidad de Server-Side Request Forgery (SSRF) en el componente wwbn/avideo hasta la versión 26.0. Esta falla permite a atacantes no autenticados que el servidor AVideo realice solicitudes HTTP a URLs arbitrarias, lo que podría resultar en el acceso a recursos internos o la exposición de metadatos de la nube. La vulnerabilidad reside en el archivo plugin/Live/test.php y afecta a sistemas que utilizan esta versión o inferior.
La vulnerabilidad SSRF en wwbn/avideo presenta un riesgo significativo. Un atacante puede explotar esta falla para escanear servicios internos que normalmente no son accesibles desde el exterior, como bases de datos, paneles de administración o incluso metadatos de instancias en la nube (por ejemplo, AWS, Azure, GCP). Esto podría permitir la extracción de credenciales, información sensible o la ejecución de comandos en sistemas internos. La falta de autenticación necesaria para explotar la vulnerabilidad amplía su potencial de impacto, ya que cualquier usuario remoto puede intentar la explotación. Un ataque exitoso podría comprometer la confidencialidad, integridad y disponibilidad de los sistemas internos.
La vulnerabilidad fue publicada el 2026-03-20. No se ha confirmado la explotación activa en campañas conocidas, pero la naturaleza de SSRF y la falta de autenticación la convierten en un objetivo atractivo para atacantes. La baja complejidad de la explotación y la disponibilidad de información sobre la vulnerabilidad sugieren un riesgo moderado de explotación. Se recomienda monitorear los sistemas afectados en busca de actividad sospechosa.
Organizations deploying wwbn/avideo versions 26.0 or earlier are at risk. This includes environments where the AVideo component is exposed to the internet or internal networks without adequate security controls. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• php: Examine access logs for outbound HTTP requests originating from the AVideo server to unusual or internal IP addresses. Look for requests containing suspicious URLs in the statsURL parameter.
grep 'statsURL=.*://' /var/log/apache2/access.log• php: Review the plugin/Live/test.php file for the vulnerable code snippet. Check for any modifications that might attempt to bypass the rudimentary input validation.
cat plugin/Live/test.php | grep statsURL• generic web: Monitor network traffic for outbound HTTP requests from the AVideo server to unexpected destinations. Use tools like tcpdump or Wireshark to capture and analyze network packets.
disclosure
Estado del Exploit
EPSS
0.05% (17% percentil)
CISA SSVC
Vector CVSS
La mitigación inmediata para esta vulnerabilidad SSRF implica implementar reglas de Web Application Firewall (WAF) que bloqueen solicitudes con URLs sospechosas o que no cumplan con un patrón predefinido. Además, se recomienda revisar y fortalecer la validación de entrada en el archivo plugin/Live/test.php para asegurar que las URLs proporcionadas por el usuario se validen correctamente. La solución definitiva es actualizar a una versión corregida de wwbn/avideo que incluya la validación adecuada de las URLs. Tras la actualización, verifique que la vulnerabilidad ha sido resuelta revisando los logs del servidor y realizando pruebas de penetración.
Actualice AVideo a una versión posterior a la 26.0. La vulnerabilidad se corrige en el commit 1e6cf03e93b5a5318204b010ea28440b0d9a5ab3. Esto evitará que usuarios no autenticados realicen solicitudes SSRF a través del plugin Live.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33502 is a CRITICAL SSRF vulnerability in wwbn/avideo versions up to 26.0, allowing attackers to make the server send HTTP requests to arbitrary URLs, potentially exposing internal resources.
You are affected if you are using wwbn/avideo version 26.0 or earlier. Check your version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of wwbn/avideo. Until then, implement WAF rules or input validation to restrict outbound requests.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a high likelihood of exploitation.
Refer to the official wwbn/avideo security advisories for the latest information and patch releases.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.