प्लेटफ़ॉर्म
php
घटक
wwbn/avideo
में ठीक किया गया
26.0.1
25.0.1
CVE-2026-33293 एक पथ पारगमन भेद्यता है जो wwbn/avideo में पाई गई है। यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है, जिससे सेवा से इनकार (DoS) हो सकता है या सुरक्षा-महत्वपूर्ण फ़ाइलों को हटाकर आगे के हमलों को सक्षम किया जा सकता है। यह भेद्यता wwbn/avideo के संस्करण 25.0 और उससे कम को प्रभावित करती है, और संस्करण 26.0 में ठीक की गई है।
यह भेद्यता हमलावरों के लिए गंभीर जोखिम पैदा करती है। plugin/CloneSite/cloneServer.json.php फ़ाइल में deleteDump पैरामीटर को unlink() फ़ंक्शन में बिना किसी पथ सैनिटाइजेशन के सीधे पास किया जाता है। एक हमलावर, जिसके पास वैध क्लोन क्रेडेंशियल हैं, पथ पारगमन अनुक्रमों (जैसे ../../) का उपयोग करके सर्वर पर मनमाने ढंग से फ़ाइलों को हटा सकता है। इसमें महत्वपूर्ण एप्लिकेशन फ़ाइलें जैसे configuration.php शामिल हैं। configuration.php को हटाने से पूरी तरह से सेवा से इनकार हो सकता है, या सुरक्षा-महत्वपूर्ण फ़ाइलों को हटाकर आगे के हमलों को सक्षम किया जा सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह एक प्रमाणित उपयोगकर्ता के माध्यम से शोषण किया जा सकता है, जिससे हमलावर के लिए सिस्टम तक पहुंच प्राप्त करना आसान हो जाता है।
CVE-2026-33293 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन पथ पारगमन भेद्यताओं का इतिहास बताता है कि इसका शोषण किया जा सकता है। इस भेद्यता को CISA KEV सूची में जोड़ा गया है या नहीं, इसकी जानकारी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभव है कि भविष्य में PoC जारी किए जा सकते हैं।
Organizations utilizing wwbn/avideo versions 25.0 and earlier, particularly those with publicly accessible clone functionality, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to impact other users' data and configurations.
• wordpress / composer / npm:
grep -r 'unlink($_GET["deleteDump"]);' /var/www/avideo/• generic web:
curl -I 'http://your-avideo-site.com/plugin/CloneSite/cloneServer.json.php?deleteDump=../../../../etc/passwd' | grep '403 Forbidden'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33293 के प्रभाव को कम करने के लिए, wwbn/avideo को संस्करण 26.0 में तुरंत अपडेट करना सबसे अच्छा तरीका है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके plugin/CloneSite/cloneServer.json.php फ़ाइल में पथ पारगमन अनुक्रमों (जैसे ../../) को ब्लॉक किया जा सकता है। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करके और केवल आवश्यक उपयोगकर्ताओं को फ़ाइलों तक पहुंच प्रदान करके, हमले की सतह को कम किया जा सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को सफलतापूर्वक ठीक किया गया है, फ़ाइल सिस्टम की अखंडता की जांच करें और पथ पारगमन प्रयासों का अनुकरण करें।
Actualice AVideo a la versión 26.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el plugin CloneSite, impidiendo la eliminación arbitraria de archivos en el servidor.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33293 एक पथ पारगमन भेद्यता है जो wwbn/avideo के संस्करण 25.0 या उससे कम को प्रभावित करती है, जिससे हमलावर संवेदनशील फ़ाइलों को हटा सकते हैं।
यदि आप wwbn/avideo के संस्करण 25.0 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
wwbn/avideo को संस्करण 26.0 में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF नियमों का उपयोग करें।
CVE-2026-33293 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण किया जा सकता है।
wwbn/avideo की वेबसाइट पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।