मुफ्त स्कैन करें
HIGHCVE-2026-33293CVSS 8.1

AVideo प्रभावित है पथ पारगमन (Path Traversal) के माध्यम से मनमाना फ़ाइल हटाने से CloneSite deleteDump पैरामीटर में

प्लेटफ़ॉर्म

php

घटक

wwbn/avideo

में ठीक किया गया

26.0.1

25.0.1

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-33293 एक पथ पारगमन भेद्यता है जो wwbn/avideo में पाई गई है। यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है, जिससे सेवा से इनकार (DoS) हो सकता है या सुरक्षा-महत्वपूर्ण फ़ाइलों को हटाकर आगे के हमलों को सक्षम किया जा सकता है। यह भेद्यता wwbn/avideo के संस्करण 25.0 और उससे कम को प्रभावित करती है, और संस्करण 26.0 में ठीक की गई है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों के लिए गंभीर जोखिम पैदा करती है। plugin/CloneSite/cloneServer.json.php फ़ाइल में deleteDump पैरामीटर को unlink() फ़ंक्शन में बिना किसी पथ सैनिटाइजेशन के सीधे पास किया जाता है। एक हमलावर, जिसके पास वैध क्लोन क्रेडेंशियल हैं, पथ पारगमन अनुक्रमों (जैसे ../../) का उपयोग करके सर्वर पर मनमाने ढंग से फ़ाइलों को हटा सकता है। इसमें महत्वपूर्ण एप्लिकेशन फ़ाइलें जैसे configuration.php शामिल हैं। configuration.php को हटाने से पूरी तरह से सेवा से इनकार हो सकता है, या सुरक्षा-महत्वपूर्ण फ़ाइलों को हटाकर आगे के हमलों को सक्षम किया जा सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह एक प्रमाणित उपयोगकर्ता के माध्यम से शोषण किया जा सकता है, जिससे हमलावर के लिए सिस्टम तक पहुंच प्राप्त करना आसान हो जाता है।

शोषण संदर्भ

CVE-2026-33293 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन पथ पारगमन भेद्यताओं का इतिहास बताता है कि इसका शोषण किया जा सकता है। इस भेद्यता को CISA KEV सूची में जोड़ा गया है या नहीं, इसकी जानकारी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभव है कि भविष्य में PoC जारी किए जा सकते हैं।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing wwbn/avideo versions 25.0 and earlier, particularly those with publicly accessible clone functionality, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to impact other users' data and configurations.

पहचान के चरणअनुवाद हो रहा है…

• wordpress / composer / npm:

grep -r 'unlink($_GET["deleteDump"]);' /var/www/avideo/

• generic web:

curl -I 'http://your-avideo-site.com/plugin/CloneSite/cloneServer.json.php?deleteDump=../../../../etc/passwd' | grep '403 Forbidden'

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.05% (15% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H8.1HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकwwbn/avideo
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
< 26.0 – < 26.026.0.1
25.025.0.1

पैकेज जानकारी

अंतिम अपडेट
29.0हाल ही में

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
प्रकाशन के 0 दिन बाद पैच

शमन और वर्कअराउंड

CVE-2026-33293 के प्रभाव को कम करने के लिए, wwbn/avideo को संस्करण 26.0 में तुरंत अपडेट करना सबसे अच्छा तरीका है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके plugin/CloneSite/cloneServer.json.php फ़ाइल में पथ पारगमन अनुक्रमों (जैसे ../../) को ब्लॉक किया जा सकता है। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करके और केवल आवश्यक उपयोगकर्ताओं को फ़ाइलों तक पहुंच प्रदान करके, हमले की सतह को कम किया जा सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को सफलतापूर्वक ठीक किया गया है, फ़ाइल सिस्टम की अखंडता की जांच करें और पथ पारगमन प्रयासों का अनुकरण करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice AVideo a la versión 26.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el plugin CloneSite, impidiendo la eliminación arbitraria de archivos en el servidor.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-33293 — पथ पारगमन wwbn/avideo में क्या है?

CVE-2026-33293 एक पथ पारगमन भेद्यता है जो wwbn/avideo के संस्करण 25.0 या उससे कम को प्रभावित करती है, जिससे हमलावर संवेदनशील फ़ाइलों को हटा सकते हैं।

क्या मैं CVE-2026-33293 में wwbn/avideo से प्रभावित हूं?

यदि आप wwbn/avideo के संस्करण 25.0 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2026-33293 में wwbn/avideo को कैसे ठीक करूं?

wwbn/avideo को संस्करण 26.0 में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF नियमों का उपयोग करें।

क्या CVE-2026-33293 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-33293 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण किया जा सकता है।

मैं wwbn/avideo के लिए CVE-2026-33293 के लिए आधिकारिक सलाहकार कहां पा सकता हूं?

wwbn/avideo की वेबसाइट पर आधिकारिक सलाहकार देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें