Plateforme
php
Composant
wwbn/avideo
Corrigé dans
26.0.1
26.0.1
La vulnérabilité CVE-2026-35450 est une faille de divulgation d'informations affectant wwbn/avideo, spécifiquement l'endpoint plugin/API/check.ffmpeg.json.php. Cette faille permet à un attaquant d'accéder à des informations de configuration du serveur FFmpeg distant sans authentification. Elle touche les versions de wwbn/avideo inférieures ou égales à 26.0. Une version corrigée (26.1) est disponible.
L'exploitation de cette vulnérabilité permet à un attaquant non authentifié de récupérer des informations sensibles relatives à la configuration du serveur FFmpeg utilisé par wwbn/avideo. Ces informations pourraient inclure des chemins de fichiers, des paramètres de configuration et d'autres détails qui pourraient être utilisés pour planifier des attaques ultérieures. Bien que la divulgation d'informations ne permette pas directement une exécution de code à distance, elle peut faciliter la reconnaissance et l'identification de points d'entrée supplémentaires dans le système. La surface d'attaque est augmentée, car un attaquant peut utiliser ces informations pour identifier d'autres vulnérabilités potentielles.
Cette vulnérabilité a été rendue publique le 2026-04-04. Il n'y a pas d'indications d'exploitation active à ce jour. Aucun PoC public n'est connu. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC public et de campagnes d'exploitation connues.
Organizations utilizing wwbn/avideo in environments where FFmpeg is used for media processing are at risk. This is particularly relevant for deployments with limited network segmentation or where the web server is exposed to the public internet. Shared hosting environments using wwbn/avideo are also at increased risk due to the potential for cross-tenant access.
• php: Examine web server access logs for requests to plugin/API/check.ffmpeg.json.php originating from unexpected IP addresses.
grep "/plugin/API/check.ffmpeg.json.php" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr• generic web: Use curl to test the endpoint's accessibility without authentication.
curl http://<your_avideo_server>/plugin/API/check.ffmpeg.json.php• php: Review the plugin/API/ directory for other endpoints lacking authentication checks, particularly those related to system configuration or management.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La solution principale consiste à mettre à jour wwbn/avideo vers la version 26.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures d'atténuation. Il est fortement recommandé de restreindre l'accès à l'endpoint check.ffmpeg.json.php via un pare-feu ou un proxy inverse, en limitant l'accès aux adresses IP autorisées. Une autre option consiste à désactiver temporairement l'endpoint si celui-ci n'est pas essentiel au fonctionnement du système. Surveillez les journaux d'accès pour détecter les tentatives d'accès non autorisées à cet endpoint.
Mettez à jour le plugin AVideo à la version 26.1 ou supérieure pour atténuer la vulnérabilité. Cette mise à jour corrige le manque d'authentification dans l'endpoint check.ffmpeg.json.php, évitant la divulgation non autorisée d'informations de configuration du serveur (FFmpeg).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35450 décrit une vulnérabilité de divulgation d'informations dans wwbn/avideo, permettant l'accès non authentifié à des informations de configuration FFmpeg.
Oui, si vous utilisez une version de wwbn/avideo inférieure ou égale à 26.0, vous êtes affecté par cette vulnérabilité.
Mettez à jour wwbn/avideo vers la version 26.1 ou supérieure. En attendant, restreignez l'accès à l'endpoint check.ffmpeg.json.php.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de CVE-2026-35450.
Consultez le site web de wwbn ou les canaux de communication habituels pour les avis de sécurité de wwbn/avideo.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.