प्लेटफ़ॉर्म
php
घटक
wwbn/avideo
में ठीक किया गया
22.0.1
21.0.1
CVE-2026-27732 एक प्रमाणित सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो wwbn/avideo के AVideo संस्करणों में पाई गई है। यह भेद्यता हमलावरों को आंतरिक सेवाओं के साथ इंटरैक्ट करने और संवेदनशील डेटा प्राप्त करने की अनुमति दे सकती है। यह भेद्यता AVideo संस्करणों 21.0.0 और उससे पहले को प्रभावित करती है। इस समस्या को हल करने के लिए, AVideo को संस्करण 22.0 में अपग्रेड करने की सिफारिश की जाती है।
यह SSRF भेद्यता हमलावरों को AVideo सर्वर से मनमाने URL पर अनुरोध करने की अनुमति देती है, जिससे आंतरिक नेटवर्क संसाधनों तक पहुंच प्राप्त हो सकती है। एक प्रमाणित हमलावर आंतरिक सेवाओं के साथ इंटरैक्ट कर सकता है, संवेदनशील डेटा प्राप्त कर सकता है, या अन्य आंतरिक प्रणालियों पर हमला करने के लिए सर्वर का उपयोग कर सकता है। इस भेद्यता का उपयोग आंतरिक डेटाबेस, कॉन्फ़िगरेशन फ़ाइलों या अन्य संवेदनशील जानकारी तक पहुंचने के लिए किया जा सकता है जो आंतरिक नेटवर्क पर स्थित हैं। यह भेद्यता संभावित रूप से डेटा उल्लंघन, सिस्टम समझौता और सेवा व्यवधान का कारण बन सकती है।
CVE-2026-27732 को 2026-02-25 को सार्वजनिक रूप से खुलासा किया गया था। इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन SSRF भेद्यताओं का उपयोग अक्सर आंतरिक संसाधनों तक पहुंचने और संवेदनशील डेटा प्राप्त करने के लिए किया जाता है। CISA KEV सूची में शामिल होने की स्थिति अभी तक निर्धारित नहीं है।
Organizations utilizing AVideo versions prior to 22.0, particularly those with internal services accessible via the network, are at risk. Shared hosting environments where multiple users share the same AVideo instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit the SSRF vulnerability.
• php: Examine access logs for requests to aVideoEncoder.json.php with unusual or unexpected downloadURL parameters. Look for URLs pointing to internal IP addresses or non-standard ports.
grep 'aVideoEncoder.json.php' access.log | grep 'downloadURL='• generic web: Use curl to test the endpoint with a known internal URL and verify that the request is blocked.
curl -v 'http://<avideo_server>/aVideoEncoder.json.php?downloadURL=http://169.254.169.254/mgmt/inventory' • generic web: Check response headers for unexpected content types or error messages indicating an internal server error when attempting an SSRF request.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, AVideo को संस्करण 22.0 में अपग्रेड करने की सिफारिश की जाती है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर किया जा सकता है ताकि मनमाना URL अनुरोधों को ब्लॉक किया जा सके। इसके अतिरिक्त, aVideoEncoder.json.php API एंडपॉइंट में downloadURL पैरामीटर के लिए इनपुट सत्यापन को मजबूत किया जा सकता है ताकि केवल स्वीकृत URL की अनुमति दी जा सके। WAF नियमों को लागू करें जो आंतरिक नेटवर्क संसाधनों तक पहुंचने वाले अनुरोधों को रोकते हैं।
AVideo को संस्करण 22.0 या उच्चतर में अपडेट करें। इस संस्करण में SSRF भेद्यता के लिए सुधार शामिल है। अपडेट को व्यवस्थापन पैनल के माध्यम से या आधिकारिक वेबसाइट से सॉफ़्टवेयर के नवीनतम संस्करण को डाउनलोड करके और अपडेट निर्देशों का पालन करके किया जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-27732 AVideo के संस्करणों 21.0.0 से पहले में पाया गया एक प्रमाणित सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है, जो हमलावरों को आंतरिक सेवाओं के साथ इंटरैक्ट करने की अनुमति देता है।
यदि आप AVideo के संस्करण 21.0.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, AVideo को संस्करण 22.0 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF नियमों का उपयोग करें।
इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन SSRF भेद्यताओं का उपयोग अक्सर आंतरिक संसाधनों तक पहुंचने के लिए किया जाता है।
आधिकारिक AVideo सलाहकार के लिए, कृपया wwbn की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।