प्लेटफ़ॉर्म
php
घटक
wwbn/avideo
में ठीक किया गया
26.0.1
25.0.1
CVE-2026-33292 wwbn/avideo में एक पथ पारगमन भेद्यता है। यह भेद्यता अनधिकृत हमलावरों को प्लेटफ़ॉर्म पर किसी भी निजी या भुगतान किए गए वीडियो को स्ट्रीम करने की अनुमति देती है। यह भेद्यता wwbn/avideo के संस्करणों में मौजूद है जो 25.0 से कम या उसके बराबर हैं। इस समस्या को wwbn/avideo संस्करण 26.0 में ठीक कर दिया गया है।
यह भेद्यता एक हमलावर को प्लेटफ़ॉर्म पर संग्रहीत किसी भी वीडियो फ़ाइल तक पहुंचने की अनुमति देती है, चाहे वह निजी हो या भुगतान किया गया हो। हमलावर videoDirectory GET पैरामीटर में .. अनुक्रम का उपयोग करके पथ को पार कर सकता है, जिससे वह उन फ़ाइलों तक पहुंच सकता है जो सामान्य रूप से पहुंच से बाहर होती हैं। इससे गोपनीय वीडियो सामग्री का खुलासा हो सकता है, प्लेटफ़ॉर्म की प्रतिष्ठा को नुकसान हो सकता है, और संभावित रूप से कानूनी और वित्तीय परिणाम हो सकते हैं। यह भेद्यता विशेष रूप से उन प्लेटफ़ॉर्म के लिए गंभीर है जो सदस्यता-आधारित वीडियो सामग्री प्रदान करते हैं, क्योंकि यह अनधिकृत पहुंच और पायरेसी की अनुमति दे सकता है।
CVE-2026-33292 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं हैं। इस भेद्यता का सार्वजनिक प्रकाशन 2026-03-19 को हुआ था। सक्रिय शोषण की कोई पुष्टि नहीं है।
Organizations utilizing wwbn/avideo for video streaming, particularly those with private or paid content, are at risk. Shared hosting environments where multiple users share the same instance of wwbn/avideo are especially vulnerable, as an attacker could potentially exploit this vulnerability to access content belonging to other users.
• php: Examine access logs for requests containing .. sequences in the videoDirectory parameter of the view/hls.php endpoint.
• php: Search for code patterns related to divergent path handling of the videoDirectory parameter, specifically where one path truncates at / and another preserves .. sequences.
• generic web: Use curl to test for path traversal by appending ../ sequences to the videoDirectory parameter and observing the response.
curl 'http://your-avideo-instance/view/hls.php?videoDirectory=../../../../etc/passwd'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
सबसे प्रभावी शमन उपाय wwbn/avideo को संस्करण 26.0 में अपग्रेड करना है, जिसमें इस भेद्यता को ठीक किया गया है। यदि अपग्रेड तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके videoDirectory पैरामीटर के लिए इनपुट सत्यापन लागू किया जा सकता है। यह सुनिश्चित करेगा कि पैरामीटर में केवल अपेक्षित वर्ण शामिल हैं और .. अनुक्रमों की अनुमति नहीं है। इसके अतिरिक्त, प्लेटफ़ॉर्म पर वीडियो फ़ाइलों के लिए उचित फ़ाइल सिस्टम अनुमतियाँ कॉन्फ़िगर की जानी चाहिए ताकि अनधिकृत पहुंच को रोका जा सके। अपग्रेड के बाद, यह सत्यापित करें कि पथ पारगमन भेद्यता अब मौजूद नहीं है, videoDirectory पैरामीटर के साथ विभिन्न पथों तक पहुंचने का प्रयास करके।
Actualice AVideo a la versión 26.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal en el endpoint HLS.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33292 wwbn/avideo में एक भेद्यता है जो हमलावरों को निजी वीडियो स्ट्रीम करने की अनुमति देती है। यह videoDirectory पैरामीटर में पथ पारगमन के कारण होता है।
यदि आप wwbn/avideo के संस्करण 25.0 से कम या उसके बराबर का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
wwbn/avideo को संस्करण 26.0 में अपग्रेड करें। यदि अपग्रेड तत्काल संभव नहीं है, तो WAF का उपयोग करके इनपुट सत्यापन लागू करें।
अभी तक सक्रिय शोषण की कोई पुष्टि नहीं है।
आधिकारिक सलाहकार wwbn की वेबसाइट पर उपलब्ध होना चाहिए।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।