प्लेटफ़ॉर्म
php
घटक
wwbn/avideo
में ठीक किया गया
26.0.1
26.0.1
CVE-2026-33351 एक गंभीर सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो wwbn/avideo प्लगइन में पाई गई है। यह भेद्यता हमलावरों को आंतरिक संसाधनों तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है। यह भेद्यता wwbn/avideo के संस्करणों 26.0 से कम या बराबर वाले सिस्टम को प्रभावित करती है। इस समस्या को wwbn/avideo संस्करण 26.0 में ठीक कर दिया गया है।
यह SSRF भेद्यता हमलावरों को आंतरिक नेटवर्क संसाधनों तक पहुंचने की अनुमति देती है जो सामान्य रूप से बाहरी दुनिया के लिए दुर्गम हैं। हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, आंतरिक सेवाओं को लक्षित कर सकते हैं, या यहां तक कि सिस्टम पर नियंत्रण प्राप्त करने का प्रयास कर सकते हैं। saveDVR.json.php फ़ाइल में $_REQUEST['webSiteRootURL'] पैरामीटर का असुरक्षित उपयोग इस भेद्यता का कारण बनता है, क्योंकि यह बिना किसी प्रमाणीकरण या सत्यापन के सर्वर-साइड पर URL को पुनः प्राप्त करने के लिए उपयोग किया जाता है। यह भेद्यता आंतरिक सेवाओं के साथ छेड़छाड़ करने या संवेदनशील जानकारी उजागर करने के लिए इस्तेमाल की जा सकती है, जिससे संभावित रूप से गंभीर सुरक्षा उल्लंघन हो सकते हैं।
यह CVE सार्वजनिक रूप से 2026-03-19 को प्रकाशित किया गया था और इसे CRITICAL गंभीरता के रूप में वर्गीकृत किया गया है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक ज्ञात नहीं हैं, लेकिन SSRF भेद्यताओं का इतिहास बताता है कि इसका शोषण किया जा सकता है। CISA KEV सूची में अभी तक शामिल नहीं किया गया है। EPSS स्कोर की जानकारी उपलब्ध नहीं है।
Organizations utilizing the AVideo Live plugin in standalone mode are particularly at risk. This includes deployments where the plugin is used to stream live video content and requires direct access to internal resources for configuration or data storage. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised plugin instance could potentially be used to attack other users on the same server.
• php: Examine access logs for requests to plugin/Live/standAloneFiles/saveDVR.json.php with unusual values in the webSiteRootURL parameter. Look for requests using protocols like file:// or gopher://.
grep 'saveDVR.json.php.*webSiteRootURL=' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with a crafted webSiteRootURL parameter pointing to an internal resource. Verify that the server attempts to access the resource.
curl 'http://your-avideo-server/plugin/Live/standAloneFiles/saveDVR.json.php?webSiteRootURL=http://localhost/sensitive_data' -sdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (24% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, wwbn/avideo को संस्करण 26.0 में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर किया जा सकता है ताकि webSiteRootURL पैरामीटर के माध्यम से भेजे गए अनुरोधों को फ़िल्टर किया जा सके। इसके अतिरिक्त, आंतरिक नेटवर्क संसाधनों तक पहुंच को सीमित करने के लिए नेटवर्क सेगमेंटेशन और एक्सेस नियंत्रण नीतियों को लागू किया जाना चाहिए। सुनिश्चित करें कि saveDVR.json.php फ़ाइल में इनपुट सत्यापन और URL अनुमति सूची लागू की गई है ताकि अनधिकृत URL पुनर्प्राप्ति को रोका जा सके। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, आंतरिक संसाधनों तक अनधिकृत पहुंच के प्रयास को रोककर।
AVideo को संस्करण 26.0 या उच्चतर में अपडेट करें। इस संस्करण में लाइव प्लगइन में SSRF भेद्यता के लिए एक सुधार शामिल है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33351 wwbn/avideo में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को आंतरिक संसाधनों तक पहुंचने की अनुमति देती है।
यदि आप wwbn/avideo के संस्करण 26.0 से कम या बराबर का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
wwbn/avideo को संस्करण 26.0 में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो WAF नियमों को कॉन्फ़िगर करें और आंतरिक संसाधनों तक पहुंच को सीमित करें।
हालांकि सार्वजनिक रूप से उपलब्ध POC अभी तक ज्ञात नहीं हैं, SSRF भेद्यताओं का इतिहास बताता है कि इसका शोषण किया जा सकता है।
wwbn/avideo आधिकारिक सलाहकार के लिए, कृपया wwbn/avideo सुरक्षा वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।