Plateforme
php
Composant
wwbn/avideo
Corrigé dans
26.0.1
25.0.1
Une vulnérabilité de type Path Traversal a été découverte dans wwbn/avideo, affectant les versions inférieures ou égales à 25.0. Cette faille permet à un attaquant authentifié de supprimer des fichiers arbitraires sur le serveur en manipulant le paramètre deleteDump dans plugin/CloneSite/cloneServer.json.php. La mise à jour vers la version 26.0 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les mécanismes de protection du système de fichiers. En utilisant des séquences de path traversal telles que ../../, l'attaquant peut supprimer des fichiers critiques, notamment configuration.php. La suppression de ce fichier entraîne un déni de service complet, rendant l'application inaccessible. De plus, la suppression de fichiers de sécurité peut permettre à l'attaquant d'exécuter du code arbitraire ou d'accéder à des informations sensibles, ouvrant la voie à d'autres attaques. Cette vulnérabilité est particulièrement préoccupante car elle nécessite uniquement des identifiants de clone valides, ce qui la rend potentiellement accessible à un plus grand nombre d'attaquants.
Cette vulnérabilité a été rendue publique le 2026-03-19. Il n'y a pas d'indication d'exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Aucun Proof of Concept (PoC) public n'est connu à ce jour, mais la simplicité de l'exploitation potentielle rend cette vulnérabilité préoccupante.
Organizations utilizing wwbn/avideo versions 25.0 and earlier, particularly those with publicly accessible clone functionality, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to impact other users' data and configurations.
• wordpress / composer / npm:
grep -r 'unlink($_GET["deleteDump"]);' /var/www/avideo/• generic web:
curl -I 'http://your-avideo-site.com/plugin/CloneSite/cloneServer.json.php?deleteDump=../../../../etc/passwd' | grep '403 Forbidden'disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La solution principale consiste à mettre à jour wwbn/avideo vers la version 26.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures d'atténuation temporaires. Il est fortement recommandé de restreindre l'accès au fichier plugin/CloneSite/cloneServer.json.php et de désactiver temporairement la fonctionnalité de clonage de site si possible. Une configuration stricte des permissions du système de fichiers peut également limiter l'impact potentiel de l'exploitation. Il est également possible d'utiliser un Web Application Firewall (WAF) pour bloquer les requêtes contenant des séquences de path traversal suspectes.
Actualice AVideo a la versión 26.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el plugin CloneSite, impidiendo la eliminación arbitraria de archivos en el servidor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33293 is a Path Traversal vulnerability affecting wwbn/avideo versions up to 25.0, allowing attackers to delete arbitrary files on the server.
You are affected if you are using wwbn/avideo version 25.0 or earlier. Upgrade to version 26.0 to resolve the vulnerability.
Upgrade to version 26.0 of wwbn/avideo. As a temporary workaround, restrict access to the vulnerable file and implement WAF rules.
As of now, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the official wwbn/avideo security advisory for detailed information and updates regarding CVE-2026-33293.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.