Plateforme
php
Composant
wwbn/avideo
Corrigé dans
26.0.1
14.3.1
26.0.1
CVE-2026-33766 describes a Server-Side Request Forgery (SSRF) vulnerability discovered in wwbn/avideo versions up to 26.0. This flaw allows attackers to bypass SSRF protection mechanisms by manipulating HTTP redirects, potentially granting access to internal resources. While a direct fix is pending, understanding the vulnerability and implementing temporary mitigations is crucial for protecting your systems.
La vulnérabilité CVE-2026-33766 dans AVideo permet à un attaquant de réaliser des attaques de falsification de requête côté serveur (SSRF). Le composant isSSRFSafeURL() tente d'empêcher les attaques SSRF en validant les adresses IP des URL, mais il ne revalide pas l'URL cible après que urlgetcontents() suit des redirections HTTP. Cela signifie qu'un attaquant peut tromper le système pour qu'il effectue des requêtes vers des ressources internes, même si l'URL initiale semble sûre. L'absence de revalidation après la redirection permet de contourner la protection mise en place, ouvrant la voie à la divulgation d'informations sensibles ou à des actions non autorisées au sein du réseau interne. La gravité de ce défaut réside dans son potentiel à compromettre la sécurité de l'infrastructure sous-jacente.
Un attaquant pourrait exploiter cette vulnérabilité en configurant un serveur web malveillant qui répond à une requête initiale par une redirection HTTP vers une ressource interne au sein du réseau AVideo. La requête initiale, apparemment inoffensive, est redirigée vers une ressource interne, qui est ensuite accédée par urlgetcontents() sans validation appropriée. Cela permet à l'attaquant de lire des fichiers internes, d'interagir avec des services internes ou même d'exécuter des commandes sur le serveur, en fonction des autorisations de l'utilisateur exécutant le code vulnérable. La complexité de l'exploitation dépend de la capacité de l'attaquant à contrôler le serveur web malveillant et de la configuration du réseau AVideo.
Organizations utilizing wwbn/avideo versions 26.0 and earlier, particularly those with exposed web applications or internal services accessible via HTTP, are at risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the SSRF vulnerability to access resources belonging to other users.
• php: Examine access logs for requests containing unusual redirects or targeting internal IP addresses. Use grep to search for patterns like Location: http://internal-ip/.
• generic web: Use curl to test for redirect vulnerabilities: curl -v <target_url> | grep Location
• generic web: Monitor response headers for unexpected redirects. Look for Location headers pointing to internal resources.
• php: Review the objects/functions.php file for the vulnerable isSSRFSafeURL() and urlgetcontents() functions. Check for modifications that might bypass the validation logic.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Actuellement, aucune correction officielle n'est fournie par le développeur d'AVideo. L'atténuation immédiate la plus efficace consiste à désactiver temporairement la fonctionnalité qui utilise urlgetcontents() ou toute fonctionnalité qui dépend de la récupération de contenu distant. En tant que solution à long terme, il est fortement recommandé de mettre à jour AVideo vers une version corrigée dès qu'elle est disponible. De plus, une validation supplémentaire peut être mise en œuvre dans le code pour revalider l'URL cible après chaque redirection HTTP, garantissant que la requête finale pointe vers une ressource sûre. Il est essentiel de surveiller les mises à jour de sécurité d'AVideo et d'appliquer les correctifs de sécurité en temps opportun.
Mettez à jour AVideo vers une version ultérieure à la 26.0. La vulnérabilité est corrigée dans le commit 8b7e9dad359d5fac69e0cbbb370250e0b284bc12. Ceci évitera l'omission de la protection SSRF via des redirections HTTP.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SSRF (Server-Side Request Forgery) est une attaque où un attaquant trompe le serveur pour qu'il effectue des requêtes vers des ressources que l'attaquant ne devrait pas être en mesure d'accéder directement.
Si vous utilisez AVideo, cette vulnérabilité pourrait permettre à un attaquant d'accéder à des ressources internes de votre réseau, ce qui pourrait compromettre la sécurité de votre site web et de vos données.
Désactiver la fonctionnalité qui utilise urlgetcontents() est une solution temporaire.
Il est recommandé de surveiller les mises à jour de sécurité d'AVideo pour obtenir des informations sur une correction officielle.
Si vous suspectez que votre site web a été compromis, vous devez contacter immédiatement un professionnel de la sécurité pour vous aider à enquêter et à résoudre le problème.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.