प्लेटफ़ॉर्म
php
घटक
wwbn/avideo
में ठीक किया गया
26.0.1
26.0.1
CVE-2026-33867 अवीडियो में एक गंभीर भेद्यता है, जहाँ वीडियो पासवर्ड डेटाबेस में प्लेनटेक्स्ट में संग्रहीत होते हैं। इसका मतलब है कि यदि कोई हमलावर डेटाबेस तक पहुंच प्राप्त करता है, तो वे सभी वीडियो पासवर्ड को स्पष्ट रूप से देख सकते हैं। यह भेद्यता अवीडियो के 26.0 और उससे पहले के संस्करणों को प्रभावित करती है। वर्तमान में, इस समस्या को ठीक करने के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
AVideo में CVE-2026-33867 भेद्यता पासवर्ड-सुरक्षित वीडियो के लिए एक महत्वपूर्ण जोखिम प्रस्तुत करती है। सिस्टम वीडियो पासवर्ड को सीधे डेटाबेस में संग्रहीत करता है, बिना किसी एन्क्रिप्शन, हैशिंग या साल्टिंग लागू किए। इसका मतलब है कि यदि कोई हमलावर SQL इंजेक्शन, एक समझौता किए गए बैकअप या गलत कॉन्फ़िगर किए गए एक्सेस नियंत्रण के माध्यम से डेटाबेस तक पहुंच प्राप्त करता है, तो वे सभी वीडियो पासवर्ड को सादे पाठ में पुनः प्राप्त कर सकते हैं। प्रभाव गंभीर है, जो संरक्षित सामग्री तक अनधिकृत पहुंच को सक्षम करता है, उपयोगकर्ताओं और सामग्री निर्माताओं की गोपनीयता और सुरक्षा से समझौता करता है। उपलब्ध पैच की कमी स्थिति को बढ़ा देती है, तत्काल शमन उपायों की आवश्यकता होती है।
इस भेद्यता का शोषण करने के लिए AVideo डेटाबेस तक पहुंच की आवश्यकता होती है। एक हमलावर सीधे पासवर्ड निकालने के लिए क्वेरी को हेरफेर करने के लिए SQL इंजेक्शन का प्रयास कर सकता है। अप्रबंधित डेटाबेस बैकअप से समझौता करना भी एक वेक्टर हो सकता है। अनधिकृत पहुंच की अनुमति देने वाले गलत डेटाबेस अनुमति कॉन्फ़िगरेशन का भी शोषण किया जा सकता है। एक बार जब हमलावर के पास डेटाबेस एक्सेस हो जाता है, तो वे वास्तविक पासवर्ड की आवश्यकता के बिना संरक्षित सामग्री तक पहुंचने की अनुमति देते हुए, सादे पाठ में वीडियो पासवर्ड पढ़ सकते हैं।
Content owners and platforms utilizing wwbn/avideo to manage and protect video content are at significant risk. Specifically, those relying on the default password protection mechanism without implementing additional security measures are most vulnerable. Shared hosting environments where multiple users share a database are also at increased risk.
• php: Examine the objects/video.php file for the vulnerable setVideo_password function. Search database tables for plaintext video password storage.
grep -r 'video_password' /path/to/avideo/objects/• database (mysql): Query the database to check for plaintext video passwords.
SELECT video_password FROM videos WHERE video_password IS NOT NULL AND video_password != '';• generic web: Monitor database access logs for unusual activity or unauthorized access attempts.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVE-2026-33867 के लिए आधिकारिक पैच की अनुपस्थिति को देखते हुए, तत्काल शमन AVideo डेटाबेस को सुरक्षित करने पर केंद्रित है। सख्त एक्सेस नियंत्रण लागू करके और SQL इंजेक्शन जैसे कमजोरियों को रोकने के लिए सुरक्षा कॉन्फ़िगरेशन की समीक्षा करके डेटाबेस एक्सेस को प्रतिबंधित करने की दृढ़ता से अनुशंसा की जाती है। अनधिकृत पहुंच से सुरक्षित रहते हुए डेटाबेस बैकअप का नियमित रूप से ऑडिट करना महत्वपूर्ण है। एन्क्रिप्शन, साल्टेड हैशिंग जैसे सुरक्षित पासवर्ड स्टोरेज को लागू करने वाले वीडियो प्रबंधन समाधान में माइग्रेट करना एक दीर्घकालिक समाधान है। संदिग्ध एक्सेस के लिए डेटाबेस गतिविधि की निगरानी भी एक अनुशंसित अभ्यास है।
Actualice AVideo a una versión posterior a la 26.0. Esto solucionará el problema del almacenamiento de contraseñas de video en texto plano. La actualización incluye un parche que implementa un método de almacenamiento más seguro para las contraseñas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अपने डेटाबेस एक्सेस को प्रतिबंधित करें, सुरक्षा कॉन्फ़िगरेशन की समीक्षा करें और अधिक सुरक्षित समाधान में माइग्रेट करने पर विचार करें।
वर्तमान में, इस भेद्यता के लिए कोई आधिकारिक पैच नहीं है।
सख्त एक्सेस नियंत्रण लागू करें, बैकअप का ऑडिट करें और डेटाबेस गतिविधि की निगरानी करें।
यह एक हमले की तकनीक है जो हमलावरों को गोपनीय जानकारी तक पहुंचने के लिए डेटाबेस क्वेरी को हेरफेर करने की अनुमति देती है।
इसका मतलब है कि पासवर्ड एन्क्रिप्टेड नहीं हैं या किसी भी तरह से संरक्षित नहीं हैं, जिससे यदि डेटाबेस से समझौता किया जाता है तो उन्हें आसानी से एक्सेस किया जा सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।