Plataforma
php
Componente
wwbn/avideo
Corregido en
26.0.1
26.0.1
Se ha descubierto una vulnerabilidad de Path Traversal en wwbn/avideo hasta la versión 26.0. Esta falla permite a un atacante no autenticado incluir archivos PHP arbitrarios a través de la concatenación de entradas de usuario en una ruta include sin una validación adecuada. La explotación exitosa puede resultar en la divulgación de archivos sensibles y, en escenarios donde el atacante pueda controlar el contenido de un archivo PHP, la ejecución remota de código.
La vulnerabilidad de Path Traversal en wwbn/avideo presenta un riesgo significativo debido a su potencial para la divulgación de información y la ejecución de código. Un atacante puede explotar esta falla para leer archivos confidenciales del servidor, como archivos de configuración, contraseñas o código fuente. Además, si el atacante puede subir o modificar un archivo PHP en el sistema, puede ejecutar código malicioso en el servidor, comprometiendo completamente la aplicación y los datos asociados. Este escenario es similar a ataques de inclusión de archivos que han sido utilizados para obtener acceso no autorizado a sistemas críticos en el pasado, permitiendo el control total del servidor.
La vulnerabilidad CVE-2026-33513 fue publicada el 20 de marzo de 2026. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a la explotación. Se recomienda monitorear activamente los sistemas afectados para detectar cualquier actividad sospechosa.
Organizations using wwbn/avideo in production environments, particularly those with publicly accessible endpoints, are at risk. Shared hosting environments where multiple users share the same server and file system are especially vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other users' data.
• wordpress / composer / npm:
grep -r 'include($_GET['locale']);' /var/www/avideo/• generic web:
curl -I 'http://your-avideo-site.com/plugin/API/get.json.php?locale=../../../../etc/passwd' | grep 'HTTP/1.1' # Check for 403 or 200disclosure
Estado del Exploit
EPSS
0.17% (39% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33513 es actualizar wwbn/avideo a una versión corregida que solucione la vulnerabilidad de Path Traversal. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad alternativas. Estas medidas incluyen la configuración de un Web Application Firewall (WAF) para bloquear solicitudes que intenten explotar la vulnerabilidad, así como la revisión y endurecimiento de la configuración del servidor para limitar el acceso a archivos sensibles. Además, se pueden implementar reglas de firewall para restringir el acceso a la API plugin/API/get.json.php solo a fuentes confiables. Después de la actualización, confirme la mitigación verificando que las solicitudes de inclusión de archivos estén correctamente validadas y que no se puedan manipular para acceder a archivos no autorizados.
Actualizar AVideo a una versión parcheada que solucione la vulnerabilidad de inclusión de archivos locales. Actualmente no hay versiones parcheadas disponibles, por lo que se recomienda monitorear las actualizaciones de seguridad del proveedor y aplicar las mitigaciones recomendadas, como restringir el acceso a la API vulnerable o implementar validación de entrada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33513 is a path traversal vulnerability in wwbn/avideo that allows attackers to include arbitrary PHP files, potentially leading to code execution.
You are affected if you are using wwbn/avideo versions 26.0 and prior. Assess your environment immediately.
Upgrade to a patched version of wwbn/avideo as soon as it becomes available. Until then, implement WAF rules and restrict access to the vulnerable endpoint.
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants immediate action.
Refer to the wwbn/avideo security advisories on their official website for the latest information and patch releases.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.