प्लेटफ़ॉर्म
php
घटक
wwbn/avideo
में ठीक किया गया
26.0.1
26.0.1
CVE-2026-33513 wwbn/avideo में एक पथ पारगम्यता भेद्यता है। यह भेद्यता हमलावरों को अनधिकृत रूप से फ़ाइलों तक पहुँचने और संभावित रूप से कोड निष्पादित करने की अनुमति देती है। यह भेद्यता wwbn/avideo के संस्करणों 26.0 और उससे कम को प्रभावित करती है। इस समस्या को ठीक करने के लिए, नवीनतम संस्करण में अपडेट करने की अनुशंसा की जाती है।
यह भेद्यता हमलावरों को वेब रूट के अंतर्गत स्थित किसी भी PHP फ़ाइल को शामिल करने की अनुमति देती है। इसका मतलब है कि हमलावर संवेदनशील जानकारी, जैसे कॉन्फ़िगरेशन फ़ाइलें या डेटाबेस क्रेडेंशियल, उजागर कर सकते हैं। यदि हमलावर वेब रूट में एक PHP फ़ाइल रखने या नियंत्रित करने में सक्षम है, तो वे मनमाना कोड निष्पादित भी कर सकते हैं, जिससे सिस्टम पर पूर्ण नियंत्रण हो सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह अनधिकृत है, जिसका अर्थ है कि हमलावरों को प्रमाणीकरण की आवश्यकता नहीं है। यह भेद्यता Log4Shell जैसे शोषण पैटर्न के समान है, जहां एक साधारण अनुरोध से गंभीर परिणाम हो सकते हैं।
CVE-2026-33513 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण सक्रिय शोषण की संभावना है। यह भेद्यता 2026-03-20 को प्रकाशित हुई थी।
Organizations using wwbn/avideo in production environments, particularly those with publicly accessible endpoints, are at risk. Shared hosting environments where multiple users share the same server and file system are especially vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other users' data.
• wordpress / composer / npm:
grep -r 'include($_GET['locale']);' /var/www/avideo/• generic web:
curl -I 'http://your-avideo-site.com/plugin/API/get.json.php?locale=../../../../etc/passwd' | grep 'HTTP/1.1' # Check for 403 or 200disclosure
एक्सप्लॉइट स्थिति
EPSS
0.17% (39% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, नवीनतम संस्करण में wwbn/avideo को अपडेट करना सबसे अच्छा है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग किया जा सकता है ताकि पथ पारगम्यता हमलों को रोका जा सके। WAF नियमों को plugin/API/get.json.php एंडपॉइंट पर उपयोगकर्ता इनपुट को मान्य करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त किया जाना चाहिए ताकि हमलावरों को वेब रूट के बाहर फ़ाइलें बनाने या संशोधित करने से रोका जा सके। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, plugin/API/get.json.php पर एक अनुरोध भेजकर जिसमें पथ पारगम्यता प्रयास शामिल है और सुनिश्चित करें कि अनुरोध अस्वीकार कर दिया गया है।
Actualizar AVideo a una versión parcheada que solucione la vulnerabilidad de inclusión de archivos locales. Actualmente no hay versiones parcheadas disponibles, por lo que se recomienda monitorear las actualizaciones de seguridad del proveedor y aplicar las mitigaciones recomendadas, como restringir el acceso a la API vulnerable o implementar validación de entrada.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33513 wwbn/avideo में एक भेद्यता है जो हमलावरों को अनधिकृत रूप से फ़ाइलों तक पहुँचने और संभावित रूप से कोड निष्पादित करने की अनुमति देती है।
यदि आप wwbn/avideo के संस्करण 26.0 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, नवीनतम संस्करण में wwbn/avideo को अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक WAF का उपयोग करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, भेद्यता की प्रकृति के कारण सक्रिय शोषण की संभावना है।
आधिकारिक सलाहकार wwbn की वेबसाइट पर उपलब्ध होना चाहिए।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।