Plateforme
php
Composant
wwbn/avideo
Corrigé dans
26.0.1
26.0.1
Une vulnérabilité de traversal de chemin a été découverte dans wwbn/avideo, affectant les versions inférieures ou égales à 26.0. Cette faille permet à un attaquant non authentifié d'inclure des fichiers arbitraires via une concaténation non sécurisée de l'entrée utilisateur dans un chemin d'inclusion. La divulgation de fichiers est confirmée, et une exécution de code à distance (RCE) est possible si l'attaquant peut contrôler un fichier PHP dans l'arborescence.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié de lire des fichiers sensibles sur le serveur web, y compris potentiellement des informations de configuration, des clés API ou des données utilisateur. Dans le scénario de test, l'attaquant a pu divulguer le contenu de view/about.php. Si un attaquant peut placer ou contrôler un fichier PHP dans l'arborescence du serveur, il peut potentiellement exécuter du code arbitraire, compromettant ainsi l'intégrité et la confidentialité du système. Cette vulnérabilité présente un risque élevé en raison de sa simplicité d'exploitation et de son potentiel d'escalade vers une RCE.
Cette vulnérabilité a été publiée le 2026-03-20. Il n'y a pas d'indication d'une inclusion dans le KEV à ce jour. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement en raison de la simplicité de l'exploitation. La vulnérabilité exploite un schéma d'inclusion de fichiers similaire à d'autres vulnérabilités de traversal de chemin observées dans des applications PHP.
Organizations using wwbn/avideo in production environments, particularly those with publicly accessible endpoints, are at risk. Shared hosting environments where multiple users share the same server and file system are especially vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other users' data.
• wordpress / composer / npm:
grep -r 'include($_GET['locale']);' /var/www/avideo/• generic web:
curl -I 'http://your-avideo-site.com/plugin/API/get.json.php?locale=../../../../etc/passwd' | grep 'HTTP/1.1' # Check for 403 or 200disclosure
Statut de l'Exploit
EPSS
0.17% (percentile 39%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour wwbn/avideo vers une version corrigée. En attendant, des mesures d'atténuation peuvent être mises en œuvre. Il est crucial de désactiver ou de restreindre l'accès à l'API plugin/API/get.json.php. Mettez en œuvre une validation stricte de l'entrée utilisateur, en utilisant une liste blanche des chemins autorisés et en évitant la concaténation directe de l'entrée utilisateur dans les chemins de fichiers. Configurez un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de traversal de chemin (par exemple, ../). Surveillez les journaux d'accès et d'erreurs pour détecter les tentatives d'exploitation.
Actualizar AVideo a una versión parcheada que solucione la vulnerabilidad de inclusión de archivos locales. Actualmente no hay versiones parcheadas disponibles, por lo que se recomienda monitorear las actualizaciones de seguridad del proveedor y aplicar las mitigaciones recomendadas, como restringir el acceso a la API vulnerable o implementar validación de entrada.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33513 is a path traversal vulnerability in wwbn/avideo that allows attackers to include arbitrary PHP files, potentially leading to code execution.
You are affected if you are using wwbn/avideo versions 26.0 and prior. Assess your environment immediately.
Upgrade to a patched version of wwbn/avideo as soon as it becomes available. Until then, implement WAF rules and restrict access to the vulnerable endpoint.
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants immediate action.
Refer to the wwbn/avideo security advisories on their official website for the latest information and patch releases.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.