Plataforma
php
Componente
wwbn/avideo
Corregido en
26.0.1
26.0.1
La vulnerabilidad CVE-2026-33649 es una falla de Cross-Site Request Forgery (CSRF) presente en wwbn/avideo hasta la versión 26.0. Esta falla permite a un atacante, sin necesidad de autenticación, modificar los permisos de usuario, lo que puede resultar en una escalada de privilegios significativa. La vulnerabilidad se encuentra en el endpoint plugin/Permissions/setPermission.json.php y se ha publicado el 25 de marzo de 2026.
Un atacante puede explotar esta vulnerabilidad para obtener acceso no autorizado a funcionalidades administrativas. Al crear una página maliciosa con etiquetas <img>, el atacante puede engañar a un administrador para que visite la página, lo que resultaría en la silenciosa modificación de los permisos del grupo de usuarios del atacante. Esto le otorgaría al atacante un nivel de acceso cercano al de un administrador, permitiéndole realizar acciones no autorizadas dentro del sistema. La falta de validación de tokens CSRF y la configuración de session.cookie_samesite=None en las cookies de sesión exacerban el riesgo, facilitando la explotación incluso en entornos con autenticación activa.
La vulnerabilidad CVE-2026-33649 fue publicada el 25 de marzo de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad a la fecha, pero la naturaleza de CSRF la hace inherentemente explotable. La ausencia de un token CSRF y la configuración de cookies con samesite=None facilitan la explotación. Se recomienda monitorear activamente los sistemas afectados para detectar posibles intentos de explotación.
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar wwbn/avideo a una versión corregida que solucione esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir la adición de una capa de protección CSRF a través de un Web Application Firewall (WAF) o un proxy inverso, configurando reglas que validen la presencia de tokens CSRF en las solicitudes. Además, se puede considerar la implementación de controles de acceso más estrictos y la revisión de las configuraciones de permisos de usuario. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el endpoint plugin/Permissions/setPermission.json.php ahora requiere un token CSRF válido.
Actualizar AVideo a una versión parcheada que corrija la vulnerabilidad CSRF en el endpoint `plugin/Permissions/setPermission.json.php`. Dado que no hay versiones parcheadas disponibles al momento de la publicación, se recomienda monitorear las actualizaciones de seguridad de WWBN y aplicar el parche tan pronto como esté disponible. Como medida temporal, se puede implementar una validación CSRF en el endpoint afectado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33649 is a Cross-Site Request Forgery (CSRF) vulnerability in wwbn/avideo versions up to 26.0 that allows attackers to escalate privileges by silently modifying user group permissions.
You are affected if you are using wwbn/avideo version 26.0 or earlier. Check your version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of wwbn/avideo that addresses the CSRF vulnerability. As a temporary workaround, restrict access to the vulnerable endpoint and review cookie security settings.
Currently, there are no publicly known Proof-of-Concept (POC) exploits or reports of active exploitation, but it's crucial to apply the patch proactively.
Refer to the official wwbn/avideo security advisories and release notes for details on the patch and any related information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.