AVideo présente un contournement d'autorisation via un Path Traversal dans le point de terminaison HLS, permettant de diffuser des vidéos privées/payantes
Plateforme
php
Composant
wwbn/avideo
Corrigé dans
26.0.1
25.0.1
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans wwbn/avideo, affectant les versions inférieures ou égales à 25.0. Cette faille permet à un attaquant non authentifié de diffuser des vidéos privées ou payantes sur la plateforme. Elle est due à une divergence dans le traitement du paramètre videoDirectory dans le code, créant une condition d'oracle divisé et permettant la lecture de fichiers non autorisés. Une correction est disponible dans la version 26.0.
Impact et Scénarios d'Attaque
L'impact de cette vulnérabilité est significatif car elle permet à un attaquant non authentifié d'accéder à des vidéos privées ou payantes sans autorisation. L'attaquant peut exploiter le paramètre videoDirectory dans l'endpoint de streaming HLS (view/hls.php) pour manipuler le chemin d'accès aux fichiers et contourner les mécanismes d'authentification. Cela pourrait entraîner une perte de revenus pour les fournisseurs de contenu, une atteinte à la confidentialité des utilisateurs et une dégradation de la réputation de la plateforme. Le risque est exacerbé par le fait que l'authentification est vérifiée sur une partie du chemin, tandis que l'accès au fichier utilise le chemin complet, permettant ainsi le traversal.
Contexte d'Exploitation
Cette vulnérabilité a été publiée le 19 mars 2026. Il n'y a pas d'indication d'exploitation active à ce jour, ni de mention sur le KEV de CISA. L'absence de preuve de concept publique ne signifie pas que la vulnérabilité n'est pas exploitable, mais suggère un risque actuellement faible. La nature de la vulnérabilité, un oracle divisé, pourrait la rendre intéressante pour les attaquants disposant de ressources pour l'exploiter.
Qui Est à Risquetraduction en cours…
Organizations utilizing wwbn/avideo for video streaming, particularly those with private or paid content, are at risk. Shared hosting environments where multiple users share the same instance of wwbn/avideo are especially vulnerable, as an attacker could potentially exploit this vulnerability to access content belonging to other users.
Étapes de Détectiontraduction en cours…
• php: Examine access logs for requests containing .. sequences in the videoDirectory parameter of the view/hls.php endpoint.
• php: Search for code patterns related to divergent path handling of the videoDirectory parameter, specifically where one path truncates at / and another preserves .. sequences.
• generic web: Use curl to test for path traversal by appending ../ sequences to the videoDirectory parameter and observing the response.
curl 'http://your-avideo-instance/view/hls.php?videoDirectory=../../../../etc/passwd'Chronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Aucun — aucun impact sur l'intégrité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Informations sur le paquet
- Dernière mise à jour
- 29.0récemment
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation immédiate consiste à mettre à niveau wwbn/avideo vers la version 26.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à niveau, il est possible de mettre en place des règles de pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de traversal de chemin (par exemple, ../). Il est également recommandé de renforcer la validation des entrées utilisateur et de s'assurer que le code de gestion des chemins d'accès aux fichiers est robuste et sécurisé. Vérifiez après la mise à niveau que l'authentification est correctement appliquée à tous les accès aux fichiers vidéo.
Comment corrigertraduction en cours…
Actualice AVideo a la versión 26.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal en el endpoint HLS.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentestraduction en cours…
What is CVE-2026-33292 — Path Traversal in wwbn/avideo?
CVE-2026-33292 is a Path Traversal vulnerability in wwbn/avideo that allows unauthenticated access to private videos due to a split-oracle condition in the videoDirectory parameter.
Am I affected by CVE-2026-33292 in wwbn/avideo?
You are affected if you are using wwbn/avideo version 25.0 or earlier. Upgrade to version 26.0 to mitigate the vulnerability.
How do I fix CVE-2026-33292 in wwbn/avideo?
The recommended fix is to upgrade to version 26.0 of wwbn/avideo. As a temporary workaround, implement a WAF rule to filter requests containing .. sequences.
Is CVE-2026-33292 being actively exploited?
As of the current disclosure date, there are no confirmed reports of active exploitation, but the vulnerability's simplicity suggests a potential for rapid exploitation.
Where can I find the official wwbn/avideo advisory for CVE-2026-33292?
Refer to the official wwbn/avideo security advisory for detailed information and updates regarding CVE-2026-33292.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.