प्लेटफ़ॉर्म
php
घटक
wwbn/avideo
में ठीक किया गया
26.0.1
26.0.1
CVE-2026-33507 एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो wwbn/avideo में पाई गई है। यह भेद्यता हमलावरों को सर्वर पर अनधिकृत कोड निष्पादित करने की अनुमति देती है। यह भेद्यता wwbn/avideo के संस्करणों ≤26.0 को प्रभावित करती है। इस समस्या को ठीक करने के लिए, नवीनतम संस्करण में अपडेट करने की सिफारिश की जाती है।
यह भेद्यता एक हमलावर को wwbn/avideo एप्लिकेशन के सर्वर पर रिमोट कोड एग्जीक्यूशन (RCE) प्राप्त करने की अनुमति देती है। हमलावर objects/pluginImport.json.php एंडपॉइंट का उपयोग करके एक दुर्भावनापूर्ण प्लगइन अपलोड कर सकता है, जिसमें PHP वेबशेल शामिल है। चूंकि एप्लिकेशन HTTPS कनेक्शन के लिए session.cookie_samesite = 'None' सेट करता है, इसलिए CSRF सुरक्षा की कमी के कारण, एक प्रमाणित व्यवस्थापक द्वारा देखे जाने पर हमलावर चुपचाप प्लगइन अपलोड कर सकता है। यह सर्वर पर पूर्ण नियंत्रण प्राप्त करने की अनुमति देता है, जिससे डेटा चोरी, सिस्टम समझौता और अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। यह भेद्यता Log4Shell जैसी अन्य RCE भेद्यताओं के समान गंभीर है, क्योंकि यह हमलावर को सिस्टम पर व्यापक नियंत्रण प्रदान करती है।
CVE-2026-33507 को अभी तक KEV में शामिल नहीं किया गया है, लेकिन इसकी उच्च गंभीरता और RCE क्षमता के कारण, यह निगरानी के योग्य है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभावना है कि जल्द ही POC जारी किए जाएंगे। यह भेद्यता 2026-03-20 को प्रकाशित हुई थी।
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33507 के लिए तत्काल शमन उपाय नवीनतम संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो CSRF टोकन को लागू करके objects/pluginImport.json.php एंडपॉइंट को सुरक्षित करने पर विचार करें। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके दुर्भावनापूर्ण प्लगइन अपलोड को ब्लॉक किया जा सकता है। सुनिश्चित करें कि सभी व्यवस्थापक खाते सुरक्षित हैं और मजबूत पासवर्ड का उपयोग करते हैं। अपडेट के बाद, यह सत्यापित करें कि प्लगइन अपलोड कार्यक्षमता ठीक से काम कर रही है और CSRF सुरक्षा लागू है।
AVideo को 26.0 से बाद के संस्करण में अपडेट करें। कमिट d1bc1695edd9ad4468a48cea0df6cd943a2635f3 में प्लगइन इम्पोर्ट एंडपॉइंट पर CSRF भेद्यता के लिए समाधान शामिल है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33507 एक रिमोट कोड एग्जीक्यूशन भेद्यता है जो wwbn/avideo के संस्करणों ≤26.0 को प्रभावित करती है, जिससे हमलावर सर्वर पर अनधिकृत कोड निष्पादित कर सकता है।
यदि आप wwbn/avideo के संस्करण ≤26.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, नवीनतम संस्करण में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो CSRF सुरक्षा लागू करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की गंभीरता को देखते हुए, सक्रिय शोषण की संभावना है।
कृपया wwbn/avideo की आधिकारिक वेबसाइट या सुरक्षा सलाहकार अनुभाग पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।