प्लेटफ़ॉर्म
php
घटक
wwbn/avideo
में ठीक किया गया
26.0.1
26.0.1
CVE-2026-33493 wwbn/avideo में एक गंभीर पाथ ट्रैवर्सल भेद्यता है। यह भेद्यता हमलावरों को अनधिकृत रूप से फ़ाइलों तक पहुँचने और संवेदनशील जानकारी निकालने की अनुमति दे सकती है। यह भेद्यता wwbn/avideo के संस्करणों 26.0 और उससे पहले को प्रभावित करती है। इस समस्या को हल करने के लिए, wwbn/avideo को नवीनतम संस्करण में अपडेट करने की सिफारिश की जाती है।
यह भेद्यता हमलावरों को objects/import.json.php एंडपॉइंट के माध्यम से सिस्टम पर मनमाना फ़ाइलों को पढ़ने की अनुमति देती है। चूंकि fileURI पैरामीटर पर केवल .mp4 एक्सटेंशन के लिए एक साधारण रेगुलर एक्सप्रेशन जांच है, इसलिए हमलावर वीडियो फ़ाइलों के बाहर अन्य फ़ाइलों को एक्सेस कर सकते हैं। एक प्रमाणित उपयोगकर्ता, जिसके पास अपलोड करने की अनुमति है, अन्य उपयोगकर्ताओं की निजी वीडियो फ़ाइलों को चुरा सकता है, .txt/.html/.htm फ़ाइलों को पढ़ सकता है जो किसी भी .mp4 फ़ाइल के बगल में स्थित हैं, और संभावित रूप से संवेदनशील डेटा उजागर कर सकता है। यह भेद्यता विशेष रूप से साझा होस्टिंग वातावरण में चिंताजनक है, जहां एक हमलावर अन्य उपयोगकर्ताओं के खातों को लक्षित कर सकता है।
CVE-2026-33493 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, शोषण का जोखिम मध्यम है। यह भेद्यता 2026-03-20 को प्रकाशित हुई थी।
Organizations using wwbn/avideo for video management, particularly those with shared hosting environments or legacy configurations, are at risk. Users with upload permissions within the application are especially vulnerable, as they are the ones who can exploit this vulnerability to access sensitive files.
• php / server:
grep -r 'fileURI' /var/www/avideo/• php / server:
find /var/www/avideo/ -name 'import.json.php'• generic web:
curl -I http://your-avideo-server/objects/import.json.php?fileURI=../../../../etc/passwddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (23% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, wwbn/avideo को तुरंत संस्करण 26.1 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके objects/import.json.php एंडपॉइंट तक पहुँच को सीमित करने पर विचार करें। WAF नियमों को fileURI पैरामीटर में पथ ट्रैवर्सल प्रयासों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को कड़ा करना और केवल आवश्यक उपयोगकर्ताओं को अपलोड करने की अनुमति देना एक अतिरिक्त सुरक्षा परत प्रदान कर सकता है। अपडेट के बाद, यह सत्यापित करें कि objects/import.json.php एंडपॉइंट अब पथ ट्रैवर्सल हमलों के लिए असुरक्षित नहीं है, वैध फ़ाइल आयात को प्रभावित किए बिना।
Actualice AVideo a una versión posterior a la 26.0. La vulnerabilidad se soluciona en el commit e110ff542acdd7e3b81bdd02b8402b9f6a61ad78. Esto evitará el recorrido de directorios y la posible lectura/eliminación de archivos arbitrarios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33493 wwbn/avideo के objects/import.json.php एंडपॉइंट में एक पाथ ट्रैवर्सल भेद्यता है, जो हमलावरों को मनमाना फ़ाइलों को पढ़ने की अनुमति देती है।
यदि आप wwbn/avideo के संस्करण 26.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, wwbn/avideo को संस्करण 26.1 या बाद के संस्करण में अपडेट करें।
CVE-2026-33493 का सक्रिय शोषण अभी तक ज्ञात नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, शोषण का जोखिम मध्यम है।
आधिकारिक wwbn/avideo सलाहकार के लिए, कृपया wwbn की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।