Plateforme
php
Composant
wwbn/avideo
Corrigé dans
26.0.1
26.0.1
CVE-2026-33478 represents a critical Remote Code Execution (RCE) vulnerability discovered in the AVideo CloneSite plugin. This vulnerability allows an unauthenticated attacker to gain complete control over a system by chaining together multiple exploits, including secret key exposure, database dumps containing MD5-hashed admin passwords, and ultimately, OS command injection. The vulnerability impacts versions of the plugin up to and including 26.0, and a fix is pending release.
La vulnérabilité CVE-2026-33478 dans le plugin CloneSite d'AVideo représente un risque critique en raison d'une chaîne de failles permettant à un attaquant non authentifié d'exécuter du code à distance. Le problème réside dans l'exposition des clés secrètes de clon via le point de terminaison clones.json.php sans authentification. Ces clés peuvent être utilisées pour déclencher un vidage complet de la base de données via cloneServer.json.php. La base de données résultante contient des hachages de mots de passe d'administrateur stockés au format MD5, qui sont facilement craquables. Une fois l'accès administrateur obtenu, l'attaquant exploite une injection de commandes système dans la construction de la commande rsync, compromettant complètement le serveur. L'absence de correctif (fix) disponible aggrave la situation, laissant les utilisateurs vulnérables.
Un attaquant pourrait exploiter cette vulnérabilité sans avoir besoin d'identifiants. Le processus commence par la récupération des clés secrètes de clon via le point de terminaison clones.json.php. Avec ces clés, l'attaquant peut demander un vidage complet de la base de données via cloneServer.json.php. La base de données, contenant des hachages MD5 des mots de passe des administrateurs, est ensuite craquée. Enfin, l'attaquant utilise l'accès administrateur pour exécuter des commandes arbitraires sur le serveur par le biais de l'injection de commandes dans la commande rsync. La facilité d'exploitation et l'absence d'authentification font de cette vulnérabilité une cible attrayante pour les attaquants de tous niveaux de compétence.
Organizations utilizing AVideo CloneSite plugin versions 26.0 and earlier are at significant risk. This includes businesses using AVideo for video cloning and management, particularly those with publicly accessible instances of the plugin. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's instance could potentially lead to the compromise of others.
• php: Examine web server access logs for requests to /clones.json.php and /cloneServer.json.php without authentication.
• php: Search plugin files for the rsync command and any user-controlled input used in its construction. Look for instances where user input is directly incorporated into the command without proper sanitization.
• linux / server: Monitor system logs (e.g., /var/log/syslog, /var/log/auth.log) for unusual processes or commands being executed, particularly those related to rsync.
• generic web: Use curl to test the /clones.json.php endpoint without authentication. A successful response indicates the vulnerability is present.
curl http://your-avideo-server/clones.json.phpdisclosure
Statut de l'Exploit
EPSS
1.95% (percentile 83%)
CISA SSVC
Vecteur CVSS
Étant donné qu'il n'existe pas de correctif officiel pour CVE-2026-33478, la mesure de mitigation immédiate la plus efficace est de désactiver ou de supprimer le plugin CloneSite d'AVideo. Si le plugin est essentiel, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès à la base de données, le renforcement des politiques de mots de passe (en évitant l'utilisation de MD5) et la surveillance active du serveur à la recherche d'activités suspectes. De plus, l'examen du code source du plugin pour identifier et corriger manuellement les vulnérabilités est recommandé, bien que cela nécessite une expertise technique considérable. Maintenir le logiciel du serveur à jour et appliquer des correctifs de sécurité généraux peut également aider à réduire le risque. Il est fortement recommandé de rechercher une alternative au plugin CloneSite jusqu'à ce qu’une solution officielle soit publiée.
Actualice AVideo a una versión posterior a la 26.0. La actualización corrige las vulnerabilidades que permiten la ejecución remota de código no autenticado.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela signifie que le développeur d'AVideo n'a pas publié de mise à jour pour corriger cette vulnérabilité. Cela augmente le risque et nécessite des mesures d'atténuation alternatives.
MD5 est un ancien algorithme de hachage cryptographique qui a été largement démontré comme étant vulnérable aux attaques par collision. Des outils et des tables précalculées existent qui permettent de craquer les hachages MD5 des mots de passe en un temps relativement court.
C'est une technique qui permet à un attaquant d'exécuter des commandes arbitraires sur le système d'exploitation sous-jacent via une application vulnérable.
Si vous utilisez le plugin CloneSite d'AVideo, vous êtes probablement vulnérable. Vous pouvez essayer d'accéder à clones.json.php sur votre site web pour vérifier si les clés secrètes sont exposées sans authentification.
Si le plugin est essentiel, mettez en œuvre des mesures de sécurité supplémentaires telles que la restriction de l'accès à la base de données, le renforcement des mots de passe et la surveillance du serveur à la recherche d'activités suspectes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.