मुफ्त स्कैन करें
HIGHCVE-2026-33513CVSS 8.6

AVideo में API locale में बिना प्रमाणीकरण के स्थानीय फ़ाइल समावेशन है (writable PHP के साथ RCE संभव)

प्लेटफ़ॉर्म

php

घटक

wwbn/avideo

में ठीक किया गया

26.0.1

26.0.1

AI Confidence: highNVDEPSS 0.2%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-33513 wwbn/avideo में एक पथ पारगम्यता भेद्यता है। यह भेद्यता हमलावरों को अनधिकृत रूप से फ़ाइलों तक पहुँचने और संभावित रूप से कोड निष्पादित करने की अनुमति देती है। यह भेद्यता wwbn/avideo के संस्करणों 26.0 और उससे कम को प्रभावित करती है। इस समस्या को ठीक करने के लिए, नवीनतम संस्करण में अपडेट करने की अनुशंसा की जाती है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को वेब रूट के अंतर्गत स्थित किसी भी PHP फ़ाइल को शामिल करने की अनुमति देती है। इसका मतलब है कि हमलावर संवेदनशील जानकारी, जैसे कॉन्फ़िगरेशन फ़ाइलें या डेटाबेस क्रेडेंशियल, उजागर कर सकते हैं। यदि हमलावर वेब रूट में एक PHP फ़ाइल रखने या नियंत्रित करने में सक्षम है, तो वे मनमाना कोड निष्पादित भी कर सकते हैं, जिससे सिस्टम पर पूर्ण नियंत्रण हो सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह अनधिकृत है, जिसका अर्थ है कि हमलावरों को प्रमाणीकरण की आवश्यकता नहीं है। यह भेद्यता Log4Shell जैसे शोषण पैटर्न के समान है, जहां एक साधारण अनुरोध से गंभीर परिणाम हो सकते हैं।

शोषण संदर्भ

CVE-2026-33513 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण सक्रिय शोषण की संभावना है। यह भेद्यता 2026-03-20 को प्रकाशित हुई थी।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations using wwbn/avideo in production environments, particularly those with publicly accessible endpoints, are at risk. Shared hosting environments where multiple users share the same server and file system are especially vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other users' data.

पहचान के चरणअनुवाद हो रहा है…

• wordpress / composer / npm:

grep -r 'include($_GET['locale']);' /var/www/avideo/

• generic web:

curl -I 'http://your-avideo-site.com/plugin/API/get.json.php?locale=../../../../etc/passwd' | grep 'HTTP/1.1' # Check for 403 or 200

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.17% (39% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L8.6HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकwwbn/avideo
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
<= 26.0 – <= 26.026.0.1
26.026.0.1

पैकेज जानकारी

अंतिम अपडेट
29.0हाल ही में

कमजोरी वर्गीकरण (CWE)

CWE-22CWE-98

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
बिना पैच — प्रकाशन से 65 दिन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, नवीनतम संस्करण में wwbn/avideo को अपडेट करना सबसे अच्छा है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग किया जा सकता है ताकि पथ पारगम्यता हमलों को रोका जा सके। WAF नियमों को plugin/API/get.json.php एंडपॉइंट पर उपयोगकर्ता इनपुट को मान्य करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त किया जाना चाहिए ताकि हमलावरों को वेब रूट के बाहर फ़ाइलें बनाने या संशोधित करने से रोका जा सके। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, plugin/API/get.json.php पर एक अनुरोध भेजकर जिसमें पथ पारगम्यता प्रयास शामिल है और सुनिश्चित करें कि अनुरोध अस्वीकार कर दिया गया है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualizar AVideo a una versión parcheada que solucione la vulnerabilidad de inclusión de archivos locales. Actualmente no hay versiones parcheadas disponibles, por lo que se recomienda monitorear las actualizaciones de seguridad del proveedor y aplicar las mitigaciones recomendadas, como restringir el acceso a la API vulnerable o implementar validación de entrada.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-33513 — पथ पारगम्यता wwbn/avideo में क्या है?

CVE-2026-33513 wwbn/avideo में एक भेद्यता है जो हमलावरों को अनधिकृत रूप से फ़ाइलों तक पहुँचने और संभावित रूप से कोड निष्पादित करने की अनुमति देती है।

क्या मैं CVE-2026-33513 से wwbn/avideo में प्रभावित हूँ?

यदि आप wwbn/avideo के संस्करण 26.0 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं wwbn/avideo में CVE-2026-33513 को कैसे ठीक करूँ?

इस भेद्यता को ठीक करने के लिए, नवीनतम संस्करण में wwbn/avideo को अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक WAF का उपयोग करें।

क्या CVE-2026-33513 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, भेद्यता की प्रकृति के कारण सक्रिय शोषण की संभावना है।

मैं wwbn/avideo के लिए CVE-2026-33513 के लिए आधिकारिक सलाहकार कहाँ पा सकता हूँ?

आधिकारिक सलाहकार wwbn की वेबसाइट पर उपलब्ध होना चाहिए।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें