Plateforme
php
Composant
wwbn/avideo
Corrigé dans
26.0.1
26.0.1
La vulnérabilité CVE-2026-33867 concerne AVideo et expose les mots de passe vidéo en clair dans la base de données. Cela permet à un attaquant, ayant accès à la base de données, de récupérer facilement les mots de passe. Les versions ≤26.0 sont vulnérables. Il n'existe pas de correctif officiel pour cette vulnérabilité.
La vulnérabilité CVE-2026-33867 dans AVideo expose les vidéos protégées par mot de passe à un risque important. Le système stocke les mots de passe des vidéos directement dans la base de données, sans appliquer de chiffrement, de hachage ou de sel. Cela signifie qu'un attaquant accédant à la base de données – via une injection SQL, une sauvegarde compromise ou des contrôles d’accès mal configurés – peut récupérer tous les mots de passe des vidéos en clair. L’impact est sévère, permettant un accès non autorisé au contenu protégé, compromettant la confidentialité et la sécurité des utilisateurs et des créateurs de contenu. L’absence de correctif disponible aggrave la situation, nécessitant des mesures d’atténuation immédiates.
L’exploitation de cette vulnérabilité nécessite un accès à la base de données AVideo. Un attaquant pourrait tenter une injection SQL pour manipuler les requêtes et extraire les mots de passe directement. La compromission d’une sauvegarde de base de données non protégée pourrait également être un vecteur. Des configurations incorrectes des autorisations de la base de données permettant un accès non autorisé pourraient également être exploitées. Une fois que l’attaquant a accès à la base de données, il peut lire les mots de passe des vidéos en clair, ce qui lui permet d’accéder au contenu protégé sans avoir besoin du mot de passe réel.
Content owners and platforms utilizing wwbn/avideo to manage and protect video content are at significant risk. Specifically, those relying on the default password protection mechanism without implementing additional security measures are most vulnerable. Shared hosting environments where multiple users share a database are also at increased risk.
• php: Examine the objects/video.php file for the vulnerable setVideo_password function. Search database tables for plaintext video password storage.
grep -r 'video_password' /path/to/avideo/objects/• database (mysql): Query the database to check for plaintext video passwords.
SELECT video_password FROM videos WHERE video_password IS NOT NULL AND video_password != '';• generic web: Monitor database access logs for unusual activity or unauthorized access attempts.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
En l’absence de correctif officiel pour CVE-2026-33867, l’atténuation immédiate se concentre sur la sécurisation de la base de données AVideo. Il est fortement recommandé de restreindre l’accès à la base de données en mettant en œuvre des contrôles d’accès stricts et en examinant les configurations de sécurité pour éviter les vulnérabilités telles que l’injection SQL. Auditer régulièrement les sauvegardes de la base de données et s’assurer qu’elles sont protégées contre les accès non autorisés est essentiel. Envisager la migration vers une solution de gestion vidéo qui implémente le stockage sécurisé des mots de passe (chiffrement, hachage avec sel) est une solution à long terme. Surveiller l’activité de la base de données à la recherche d’accès suspects est également une pratique recommandée.
Mettez à jour AVideo vers une version postérieure à la 26.0. Cela résoudra le problème du stockage des mots de passe vidéo en texte clair. La mise à jour comprend un correctif qui met en œuvre une méthode de stockage plus sûre pour les mots de passe.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Restreignez l’accès à votre base de données, examinez les configurations de sécurité et envisagez de migrer vers une solution plus sécurisée.
Actuellement, il n’y a pas de correctif officiel pour cette vulnérabilité.
Mettez en œuvre des contrôles d’accès stricts, auditez les sauvegardes et surveillez l’activité de la base de données.
C’est une technique d’attaque qui permet aux attaquants de manipuler les requêtes de base de données pour accéder à des informations confidentielles.
Cela signifie que les mots de passe ne sont ni chiffrés ni protégés d’aucune manière, ce qui les rend facilement accessibles si la base de données est compromise.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.