Plataforma
php
Componente
wwbn/avideo
Corregido en
26.0.1
26.0.1
Se ha descubierto una vulnerabilidad de bypass de autenticación en wwbn/avideo, afectando versiones hasta la 26.0. Esta falla permite a un atacante redirigir las solicitudes de verificación de tokens a un servidor controlado por él, eludiendo completamente la autenticación. El impacto es la capacidad de controlar flujos en vivo sin autorización, incluyendo la manipulación de publishers y grabaciones. Se recomienda actualizar a la versión corregida o implementar medidas de mitigación.
La vulnerabilidad de bypass de autenticación en wwbn/avideo permite a un atacante obtener control total sobre los flujos en vivo de la plataforma. Al redirigir las solicitudes de verificación de tokens a un servidor malicioso, el atacante puede eludir la autenticación y realizar acciones como eliminar publishers activos, iniciar o detener grabaciones, e incluso determinar la existencia de flujos. Esto representa un riesgo significativo para la integridad y confidencialidad de los datos transmitidos a través de la plataforma, ya que el atacante puede interceptar o manipular el contenido del flujo en vivo. La falta de autenticación abre la puerta a la suplantación de identidad y la ejecución de acciones no autorizadas en nombre de usuarios legítimos.
La vulnerabilidad CVE-2026-33716 fue publicada el 25 de marzo de 2026. No se ha confirmado explotación activa en entornos reales, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para atacantes. Se recomienda monitorear activamente los sistemas afectados y aplicar las medidas de mitigación recomendadas. La ausencia de un KEV listing indica que la vulnerabilidad aún no ha sido considerada una amenaza prioritaria por CISA, pero su impacto potencial justifica una respuesta proactiva.
Organizations and individuals utilizing wwbn/avideo for live streaming applications are at risk, particularly those running older, unpatched versions (≤26.0). Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to the exploitation of this vulnerability across the entire platform.
• php / server:
grep -r 'streamerURL' /var/www/avideo/• generic web:
curl -I https://your-avideo-domain.com/plugin/Live/standAloneFiles/control.json.php?streamerURL=http://attacker.com• generic web:
curl -s https://your-avideo-domain.com/plugin/Live/standAloneFiles/control.json.php | grep streamerURLdisclosure
Estado del Exploit
EPSS
0.09% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33716 es actualizar wwbn/avideo a la versión corregida, una vez disponible. Mientras tanto, se recomienda implementar reglas de firewall de aplicaciones web (WAF) para bloquear solicitudes con parámetros streamerURL sospechosos o que apunten a dominios no autorizados. También es crucial revisar la configuración del servidor para asegurar que las solicitudes de verificación de tokens se dirijan únicamente a servidores confiables. Implementar un sistema de monitoreo para detectar patrones de tráfico inusuales que puedan indicar un intento de explotación de esta vulnerabilidad es fundamental. Después de la actualización, confirme la mitigación revisando los registros del servidor y verificando que las solicitudes de verificación de tokens se dirijan al servidor correcto.
Actualice AVideo a una versión posterior a la 26.0. La vulnerabilidad se corrige en el commit 388fcd57dbd16f6cb3ebcdf1d08cf2b929941128. Esto evitará que atacantes no autenticados controlen las transmisiones en vivo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33716 is a critical vulnerability in wwbn/avideo versions up to 26.0 that allows attackers to bypass authentication by manipulating the streamerURL parameter, gaining unauthorized control over live streams.
You are affected if you are using wwbn/avideo versions 26.0 or earlier. Immediately assess your environment and apply the necessary patches or mitigations.
The recommended fix is to upgrade to a patched version of wwbn/avideo. As a temporary workaround, implement WAF rules to validate the streamerURL parameter.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a medium probability of exploitation. Monitor security advisories for updates.
Refer to the official wwbn/avideo security advisory for detailed information and patching instructions. Check their website or relevant security mailing lists for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.