Plateforme
php
Composant
wwbn/avideo
Corrigé dans
26.0.1
26.0.1
Une vulnérabilité de type Path Traversal a été découverte dans le composant wwbn/avideo, affectant les versions inférieures ou égales à 26.0. Cette faille permet à un utilisateur authentifié disposant des permissions d'upload de lire des fichiers arbitraires sur le système de fichiers, compromettant potentiellement la confidentialité des données. La vulnérabilité a été publiée le 20 mars 2026 et une correction est disponible.
L'exploitation de cette vulnérabilité permet à un attaquant authentifié d'accéder à des fichiers sensibles situés à proximité des fichiers vidéo (.mp4). Cela inclut la lecture de fichiers texte (.txt), HTML (.html) et HTM (.htm) qui pourraient contenir des informations confidentielles telles que des mots de passe, des clés API, ou des données personnelles. L'attaquant peut également voler les fichiers vidéo privés d'autres utilisateurs en les important dans son propre compte. Le risque est significatif car il permet une lecture non autorisée de données sensibles stockées sur le serveur, potentiellement conduisant à une violation de la confidentialité et à une perte de contrôle sur les informations.
Cette vulnérabilité est actuellement publique. Il n'y a pas d'indications d'une exploitation active à grande échelle, mais la simplicité de l'exploitation rend la vulnérabilité potentiellement dangereuse. La publication de preuves de concept (PoC) est probable. La vulnérabilité a été ajoutée au catalogue KEV de CISA, ce qui indique un niveau de risque potentiellement élevé.
Organizations using wwbn/avideo for video management, particularly those with shared hosting environments or legacy configurations, are at risk. Users with upload permissions within the application are especially vulnerable, as they are the ones who can exploit this vulnerability to access sensitive files.
• php / server:
grep -r 'fileURI' /var/www/avideo/• php / server:
find /var/www/avideo/ -name 'import.json.php'• generic web:
curl -I http://your-avideo-server/objects/import.json.php?fileURI=../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour wwbn/avideo vers une version corrigée. En attendant la mise à jour, il est recommandé de renforcer les contrôles d'accès aux fichiers vidéo et de limiter les permissions d'upload aux utilisateurs autorisés. Il est également possible de mettre en place des règles WAF (Web Application Firewall) pour bloquer les requêtes suspectes contenant des caractères de manipulation de chemin (../). Une analyse régulière des journaux d'accès peut aider à identifier les tentatives d'exploitation de cette vulnérabilité.
Actualice AVideo a una versión posterior a la 26.0. La vulnerabilidad se soluciona en el commit e110ff542acdd7e3b81bdd02b8402b9f6a61ad78. Esto evitará el recorrido de directorios y la posible lectura/eliminación de archivos arbitrarios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33493 is a Path Traversal vulnerability in wwbn/avideo versions 26.0 and earlier, allowing authenticated users to read arbitrary files.
You are affected if you are using wwbn/avideo version 26.0 or earlier and have not yet applied a patch.
Upgrade to a patched version of wwbn/avideo as soon as it becomes available. Until then, implement WAF rules or restrict access to the vulnerable endpoint.
No active exploitation has been confirmed at this time, but the vulnerability's ease of exploitation suggests it could become a target.
Please refer to the wwbn/avideo security advisories page for updates and official information regarding CVE-2026-33493.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.