Plateforme
php
Composant
wwbn/avideo
Corrigé dans
26.0.1
26.0.1
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans le plugin AVideo Live de wwbn/avideo, spécifiquement dans le fichier saveDVR.json.php. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources non intentionnelles, potentiellement sensibles. Elle affecte les versions de wwbn/avideo inférieures ou égales à 26.0 et une correction est disponible dans la version 26.0.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de lire des fichiers arbitraires sur le serveur, en utilisant le paramètre webSiteRootURL dans saveDVR.json.php. Puisque le plugin est conçu pour fonctionner en mode autonome, cette vulnérabilité est particulièrement critique car elle ne nécessite aucune authentification. Un attaquant pourrait ainsi accéder à des informations confidentielles telles que des fichiers de configuration, des clés API, ou d'autres données sensibles stockées sur le serveur. Le risque de compromission est élevé, car l'attaquant peut potentiellement utiliser cette vulnérabilité pour obtenir un accès non autorisé à l'ensemble du système.
Cette vulnérabilité a été rendue publique le 2026-03-19. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation et la criticité de la vulnérabilité suggèrent un risque élevé. La vulnérabilité n'est pas répertoriée sur le KEV (Know Exploited Vulnerabilities) de CISA au moment de la rédaction. Un Proof of Concept (PoC) public pourrait être publié à tout moment, augmentant le risque d'exploitation.
Organizations utilizing the AVideo Live plugin in standalone mode are particularly at risk. This includes deployments where the plugin is used to stream live video content and requires direct access to internal resources for configuration or data storage. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised plugin instance could potentially be used to attack other users on the same server.
• php: Examine access logs for requests to plugin/Live/standAloneFiles/saveDVR.json.php with unusual values in the webSiteRootURL parameter. Look for requests using protocols like file:// or gopher://.
grep 'saveDVR.json.php.*webSiteRootURL=' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with a crafted webSiteRootURL parameter pointing to an internal resource. Verify that the server attempts to access the resource.
curl 'http://your-avideo-server/plugin/Live/standAloneFiles/saveDVR.json.php?webSiteRootURL=http://localhost/sensitive_data' -sdisclosure
Statut de l'Exploit
EPSS
0.08% (percentile 24%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour wwbn/avideo vers la version 26.0, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en place. Il est crucial de désactiver temporairement le plugin AVideo Live en mode autonome si cela est possible. En alternative, une configuration stricte du pare-feu peut être mise en place pour limiter les requêtes sortantes du serveur. L'utilisation d'un Web Application Firewall (WAF) avec des règles spécifiques pour bloquer les requêtes SSRF peut également aider à atténuer le risque. Il est recommandé de surveiller attentivement les journaux du serveur pour détecter toute activité suspecte.
Mettez à jour AVideo à la version 26.0 ou supérieure. Cette version contient une correction pour la vulnérabilité SSRF dans le plugin Live.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33351 is a critical SSRF vulnerability in the AVideo Live plugin, allowing attackers to make server-side requests to arbitrary resources. Versions affected are those prior to 26.0.
You are affected if you are using the AVideo Live plugin in standalone mode and are running a version prior to 26.0.
Upgrade the AVideo Live plugin to version 26.0 or later. As a temporary workaround, implement a WAF rule to block suspicious webSiteRootURL values.
While no confirmed exploitation is currently reported, the ease of exploitation suggests a high probability of active scanning and potential attacks.
Refer to the official AVideo security advisory for detailed information and updates regarding CVE-2026-33351.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.