Plataforma
php
Componente
wwbn/avideo
Corregido en
26.0.1
26.0.1
La vulnerabilidad CVE-2026-33681 es una falla de Path Traversal detectada en el componente wwbn/avideo, afectando versiones hasta la 26.0. Un atacante autenticado puede explotar esta vulnerabilidad para ejecutar código SQL arbitrario en la base de datos de la aplicación. La vulnerabilidad fue publicada el 25 de marzo de 2026 y se recomienda actualizar a la versión corregida lo antes posible.
Esta vulnerabilidad permite a un atacante, con privilegios de administrador o a través de un ataque CSRF, manipular el parámetro 'name' en el endpoint objects/pluginRunDatabaseScript.json.php. La falta de sanitización adecuada en la función Plugin::getDatabaseFileName() permite la navegación fuera del directorio de plugins, permitiendo la ejecución de archivos install/install.sql arbitrarios como consultas SQL directas contra la base de datos. Esto podría resultar en la lectura, modificación o eliminación de datos sensibles, la ejecución de código malicioso en el servidor, o incluso la toma de control completa de la aplicación. La gravedad de esta vulnerabilidad reside en su potencial para comprometer la integridad y confidencialidad de la base de datos, similar a ataques SQL Injection, pero con un vector de ataque más sutil.
La vulnerabilidad CVE-2026-33681 fue publicada el 25 de marzo de 2026. No se ha confirmado la inclusión en el KEV de CISA, ni se ha determinado un EPSS score. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (Path Traversal con ejecución de SQL) la convierte en un objetivo atractivo para atacantes. Se recomienda monitorear activamente los sistemas afectados.
Organizations using wwbn/avideo in environments where administrators have access to the plugin management interface are at risk. Shared hosting environments where multiple users share the same server and database are particularly vulnerable, as an attacker could potentially exploit this vulnerability to compromise other users' data. Legacy configurations with outdated security practices are also at increased risk.
• php: Examine access logs for requests to objects/pluginRunDatabaseScript.json.php with unusual or potentially malicious values in the name parameter. Use grep to search for patterns like ../ or absolute paths.
grep 'pluginRunDatabaseScript.json.php.*../' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with various payloads, observing the response for errors or unexpected behavior.
curl -X POST -d 'name=../../../../etc/passwd' http://your-avideo-server/objects/pluginRunDatabaseScript.json.phpdisclosure
Estado del Exploit
EPSS
0.05% (17% percentil)
CISA SSVC
Vector CVSS
La mitigación inmediata implica evitar el uso del endpoint objects/pluginRunDatabaseScript.json.php hasta que se pueda aplicar una actualización. Si la actualización no es posible de inmediato, se recomienda implementar una validación estricta del parámetro 'name' en el código PHP, asegurándose de que solo se permitan caracteres alfanuméricos y guiones bajos, y que la ruta resultante esté dentro del directorio de plugins esperado. Además, se puede considerar la implementación de un Web Application Firewall (WAF) con reglas que bloqueen solicitudes con patrones de path traversal. La verificación posterior a la actualización debe incluir la ejecución de pruebas de penetración para confirmar que la vulnerabilidad ha sido resuelta.
Actualice AVideo a una versión posterior a la 26.0. La actualización corrige la vulnerabilidad de path traversal en el endpoint `pluginRunDatabaseScript.json.php`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33681 is a Path Traversal vulnerability in wwbn/avideo that allows attackers to execute arbitrary SQL queries against the database by manipulating the 'name' parameter.
You are affected if you are using wwbn/avideo versions 26.0 or earlier. This vulnerability impacts systems where administrators have access to the plugin management interface.
Upgrade to a patched version of wwbn/avideo. As a temporary workaround, implement a WAF rule to block or filter the 'name' parameter.
While no public exploits are currently known, the vulnerability's nature suggests a potential for exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the official wwbn/avideo security advisories for the most up-to-date information and patch details. Check their website and relevant security mailing lists.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.