Plateforme
php
Composant
wwbn/avideo
Corrigé dans
22.0.1
21.0.1
La vulnérabilité CVE-2026-27732 est une faille de type SSRF (Server-Side Request Forgery) authentifiée découverte dans AVideo. Cette faille permet à un utilisateur authentifié de forcer le serveur à effectuer des requêtes vers des URL arbitraires, y compris des ressources internes. Les versions d'AVideo antérieures à la version 22.0 sont concernées. Une correction est disponible dans la version 22.0.
Un attaquant authentifié peut exploiter cette vulnérabilité SSRF pour interagir avec des services internes et potentiellement accéder à des données sensibles. En forçant le serveur à effectuer des requêtes vers des adresses internes, l'attaquant peut contourner les contrôles d'accès et accéder à des informations qui seraient normalement inaccessibles. Cela peut inclure des informations d'identification, des données de configuration, ou même des données d'autres applications s'exécutant sur le même réseau. Le potentiel de mouvement latéral est significatif, car l'attaquant peut utiliser cette vulnérabilité pour scanner le réseau interne et identifier d'autres cibles potentielles.
Cette vulnérabilité a été publiée le 25 février 2026. Il n'y a pas d'indications d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'une authentification préalable et de la complexité potentielle de l'exploitation. Aucun PoC public n'est actuellement disponible.
Organizations utilizing AVideo versions prior to 22.0, particularly those with internal services accessible via the network, are at risk. Shared hosting environments where multiple users share the same AVideo instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit the SSRF vulnerability.
• php: Examine access logs for requests to aVideoEncoder.json.php with unusual or unexpected downloadURL parameters. Look for URLs pointing to internal IP addresses or non-standard ports.
grep 'aVideoEncoder.json.php' access.log | grep 'downloadURL='• generic web: Use curl to test the endpoint with a known internal URL and verify that the request is blocked.
curl -v 'http://<avideo_server>/aVideoEncoder.json.php?downloadURL=http://169.254.169.254/mgmt/inventory' • generic web: Check response headers for unexpected content types or error messages indicating an internal server error when attempting an SSRF request.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour AVideo vers la version 22.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en place. Il est recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des URL suspectes ou malformées. De plus, il est possible de restreindre l'accès à l'API aVideoEncoder.json.php aux seuls utilisateurs et adresses IP autorisés. Vérifiez après la mise à jour que la vulnérabilité est bien corrigée en effectuant des tests de pénétration ciblés.
Mettez à jour AVideo à la version 22.0 ou supérieure. Cette version contient la correction pour la vulnérabilité SSRF. La mise à jour peut être effectuée via le panneau d'administration ou en téléchargeant la dernière version du logiciel depuis le site web officiel et en suivant les instructions de mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-27732 is a HIGH severity SSRF vulnerability affecting AVideo versions prior to 22.0. It allows authenticated users to trigger server-side requests to arbitrary URLs, potentially exposing internal data.
You are affected if you are using AVideo versions 21.0.0 or earlier. Upgrade to version 22.0 to resolve the vulnerability.
Upgrade to AVideo version 22.0. As a temporary workaround, implement a WAF rule to block suspicious URLs or enforce stricter input validation on the downloadURL parameter.
There is currently no evidence of active exploitation, but the SSRF nature of the vulnerability makes it a potential target.
Refer to the official AVideo security advisory for detailed information and updates: [https://www.avideo.com/security/advisories](https://www.avideo.com/security/advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.