Plataforma
php
Componente
wwbn/avideo
Corregido en
26.0.1
26.0.1
CVE-2026-33507 es una vulnerabilidad de Ejecución Remota de Código (RCE) que afecta a wwbn/avideo en versiones iguales o inferiores a 26.0. Un atacante no autenticado puede aprovechar esta falla para cargar plugins maliciosos que contienen código PHP ejecutable, obteniendo control sobre el servidor. La vulnerabilidad radica en la falta de protección CSRF en el endpoint objects/pluginImport.json.php y la configuración de session.cookie_samesite = 'None' para conexiones HTTPS.
La explotación exitosa de CVE-2026-33507 permite a un atacante ejecutar código arbitrario en el servidor wwbn/avideo con los privilegios del usuario administrador. Esto puede resultar en la toma de control completa del sistema, robo de datos sensibles, modificación de la configuración de la aplicación, o el uso del servidor como punto de apoyo para ataques a otros sistemas en la red. La configuración de session.cookie_samesite = 'None' amplifica el riesgo, ya que facilita la explotación a través de ataques de cross-site scripting (XSS) en otros componentes de la aplicación, permitiendo la ejecución de código malicioso en el contexto de una sesión de administrador válida.
La vulnerabilidad fue publicada el 2026-03-20. No se ha confirmado la explotación activa de CVE-2026-33507, pero la naturaleza de RCE y la relativa facilidad de explotación sugieren un riesgo medio-alto. Se recomienda monitorear los sistemas afectados en busca de actividad sospechosa. No se ha añadido a KEV al momento de la redacción.
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33507 es actualizar wwbn/avideo a una versión corregida (superior a 26.0) tan pronto como esté disponible. Si la actualización no es inmediatamente posible, se recomienda implementar controles CSRF en el endpoint objects/pluginImport.json.php para prevenir la carga no autorizada de plugins. Además, se debe validar rigurosamente todos los archivos ZIP cargados, verificando su integridad y contenido antes de la instalación. Deshabilitar temporalmente la funcionalidad de importación de plugins puede ser una medida de seguridad adicional. Verifique que la configuración session.cookie_samesite sea la adecuada para su entorno.
Actualice AVideo a una versión posterior a la 26.0. El commit d1bc1695edd9ad4468a48cea0df6cd943a2635f3 contiene la solución para la vulnerabilidad CSRF en el endpoint de importación de plugins.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33507 is a Remote Code Execution vulnerability in the wwbn/avideo plugin import functionality, allowing unauthenticated attackers to upload and execute malicious PHP code.
You are affected if you are using wwbn/avideo versions 26.0 or earlier. Assess your environment and upgrade as soon as possible.
Upgrade to a patched version of wwbn/avideo that addresses the vulnerability. If immediate upgrading is not possible, implement temporary workarounds like input validation and WAF rules.
Currently, there is no public evidence of active exploitation, but the HIGH severity and ease of exploitation warrant immediate attention and remediation.
Refer to the wwbn/avideo project's official website or security advisory page for the latest information and updates regarding CVE-2026-33507.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.