Scanner gratuitement
HIGHCVE-2026-33681CVSS 7.2

AVideo présente un Path Traversal dans pluginRunDatabaseScript.json.php, permettant l'exécution arbitraire de fichiers SQL via un nom de plugin non validé

Plateforme

php

Composant

wwbn/avideo

Corrigé dans

26.0.1

26.0.1

AI Confidence: highNVDEPSS 0.1%Révisé: mai 2026
Voir sur NVD
Sauvegarder

Une vulnérabilité de type Path Traversal a été découverte dans wwbn/avideo, affectant les versions inférieures ou égales à 26.0. Cette faille permet à un attaquant authentifié, ou via CSRF, d'accéder à des fichiers sensibles sur le système de fichiers. L'exploitation réussie peut entraîner l'exécution de requêtes SQL arbitraires contre la base de données de l'application.

Impact et Scénarios d'Attaque

L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter la faille Path Traversal en manipulant le paramètre name dans la requête POST à l'endpoint objects/pluginRunDatabaseScript.json.php. En fournissant une valeur malveillante, l'attaquant peut contourner les restrictions de chemin et exécuter le contenu de n'importe quel fichier install/install.sql présent sur le système de fichiers comme des requêtes SQL brutes. Cela pourrait permettre la lecture, la modification ou la suppression de données sensibles dans la base de données, voire la prise de contrôle complète de l'application. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée via CSRF, ce qui signifie qu'un attaquant peut potentiellement déclencher l'exploitation sans nécessiter d'interaction directe de l'utilisateur.

Contexte d'Exploitation

La vulnérabilité a été rendue publique le 2026-03-25. Il n'y a pas d'indication d'une présence sur KEV ou d'un score EPSS. Aucun Proof of Concept (PoC) public n'est actuellement connu, mais la nature de la vulnérabilité (Path Traversal avec exécution SQL) la rend potentiellement exploitable. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte.

Qui Est à Risquetraduction en cours…

Organizations using wwbn/avideo in environments where administrators have access to the plugin management interface are at risk. Shared hosting environments where multiple users share the same server and database are particularly vulnerable, as an attacker could potentially exploit this vulnerability to compromise other users' data. Legacy configurations with outdated security practices are also at increased risk.

Étapes de Détectiontraduction en cours…

• php: Examine access logs for requests to objects/pluginRunDatabaseScript.json.php with unusual or potentially malicious values in the name parameter. Use grep to search for patterns like ../ or absolute paths.

grep 'pluginRunDatabaseScript.json.php.*../' /var/log/apache2/access.log

• generic web: Use curl to test the endpoint with various payloads, observing the response for errors or unexpected behavior.

curl -X POST -d 'name=../../../../etc/passwd' http://your-avideo-server/objects/pluginRunDatabaseScript.json.php

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.05% (percentile 17%)

CISA SSVC

Exploitationpoc
Automatisableno
Impact Techniquetotal

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H7.2HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredHighNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Élevé — un compte administrateur ou privilégié est requis.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composantwwbn/avideo
Fournisseurosv
Plage affectéeCorrigé dans
<= 26.0 – <= 26.026.0.1
26.026.0.1

Informations sur le paquet

Dernière mise à jour
29.0récemment

Classification de Faiblesse (CWE)

CWE-22

Chronologie

  1. Réservé
  2. Publiée
  3. EPSS mis à jour
Sans correctif — 60 jours depuis la divulgation

Mitigation et Contournements

La mitigation immédiate consiste à mettre à jour wwbn/avideo vers une version corrigée, si disponible. En attendant, des mesures de contournement peuvent être mises en place. Il est crucial de restreindre l'accès à l'endpoint objects/pluginRunDatabaseScript.json.php et de mettre en œuvre une validation stricte du paramètre name pour empêcher toute manipulation de chemin. L'utilisation d'un Web Application Firewall (WAF) avec des règles spécifiques pour bloquer les tentatives de traversal de chemin peut également aider à atténuer le risque. Vérifiez après la mise à jour que l'endpoint est correctement protégé et que le paramètre name est validé avant d'être utilisé.

Comment corrigertraduction en cours…

Actualice AVideo a una versión posterior a la 26.0. La actualización corrige la vulnerabilidad de path traversal en el endpoint `pluginRunDatabaseScript.json.php`.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentestraduction en cours…

What is CVE-2026-33681 — Path Traversal in wwbn/avideo?

CVE-2026-33681 is a Path Traversal vulnerability in wwbn/avideo that allows attackers to execute arbitrary SQL queries against the database by manipulating the 'name' parameter.

Am I affected by CVE-2026-33681 in wwbn/avideo?

You are affected if you are using wwbn/avideo versions 26.0 or earlier. This vulnerability impacts systems where administrators have access to the plugin management interface.

How do I fix CVE-2026-33681 in wwbn/avideo?

Upgrade to a patched version of wwbn/avideo. As a temporary workaround, implement a WAF rule to block or filter the 'name' parameter.

Is CVE-2026-33681 being actively exploited?

While no public exploits are currently known, the vulnerability's nature suggests a potential for exploitation. Monitor security advisories and threat intelligence feeds.

Where can I find the official wwbn/avideo advisory for CVE-2026-33681?

Refer to the official wwbn/avideo security advisories for the most up-to-date information and patch details. Check their website and relevant security mailing lists.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE