प्लेटफ़ॉर्म
php
घटक
wwbn/avideo
में ठीक किया गया
26.0.1
26.0.1
CVE-2026-35450 wwbn/avideo में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। यह भेद्यता हमलावरों को प्रमाणीकरण के बिना FFmpeg रिमोट सर्वर कॉन्फ़िगरेशन की जांच करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है। यह भेद्यता wwbn/avideo के संस्करण 26.0 और उससे पहले को प्रभावित करती है। इस समस्या को हल करने के लिए, wwbn/avideo को संस्करण 26.1 में अपग्रेड करने की सिफारिश की जाती है।
यह SSRF भेद्यता हमलावरों को आंतरिक सेवाओं तक पहुंचने या संवेदनशील डेटा को उजागर करने की अनुमति दे सकती है जो FFmpeg रिमोट सर्वर द्वारा एक्सेस किए जाते हैं। हमलावर आंतरिक नेटवर्क संसाधनों को स्कैन करने, आंतरिक वेब एप्लिकेशन तक पहुंचने या अन्य आंतरिक सेवाओं के साथ बातचीत करने के लिए इस भेद्यता का उपयोग कर सकते हैं। चूंकि check.ffmpeg.json.php एंडपॉइंट बिना प्रमाणीकरण के उपलब्ध है, जबकि अन्य FFmpeg प्रबंधन एंडपॉइंट्स को User::isAdmin() की आवश्यकता होती है, यह भेद्यता एक महत्वपूर्ण जोखिम प्रस्तुत करती है क्योंकि यह प्रमाणीकृत उपयोगकर्ताओं के लिए भी आंतरिक संसाधनों तक पहुंच प्रदान कर सकती है।
यह भेद्यता 2026-04-04 को सार्वजनिक रूप से प्रकट की गई थी। वर्तमान में, इस CVE के लिए कोई ज्ञात सार्वजनिक प्रूफ-ऑफ-कांसेप्ट (POC) नहीं है, लेकिन SSRF भेद्यताओं का इतिहास बताता है कि इसका शोषण किया जा सकता है। CISA KEV सूची में इसकी स्थिति अभी तक निर्धारित नहीं की गई है।
Organizations utilizing wwbn/avideo in environments where FFmpeg is used for media processing are at risk. This is particularly relevant for deployments with limited network segmentation or where the web server is exposed to the public internet. Shared hosting environments using wwbn/avideo are also at increased risk due to the potential for cross-tenant access.
• php: Examine web server access logs for requests to plugin/API/check.ffmpeg.json.php originating from unexpected IP addresses.
grep "/plugin/API/check.ffmpeg.json.php" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr• generic web: Use curl to test the endpoint's accessibility without authentication.
curl http://<your_avideo_server>/plugin/API/check.ffmpeg.json.php• php: Review the plugin/API/ directory for other endpoints lacking authentication checks, particularly those related to system configuration or management.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, wwbn/avideo को संस्करण 26.1 में अपग्रेड करने की सिफारिश की जाती है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके plugin/API/check.ffmpeg.json.php एंडपॉइंट तक पहुंच को ब्लॉक कर सकते हैं। इसके अतिरिक्त, आप FFmpeg रिमोट सर्वर कॉन्फ़िगरेशन को सुरक्षित करने और आंतरिक नेटवर्क संसाधनों तक पहुंच को सीमित करने के लिए अतिरिक्त सुरक्षा उपाय लागू कर सकते हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए जांच करें कि check.ffmpeg.json.php एंडपॉइंट अब बिना प्रमाणीकरण के उपलब्ध नहीं है।
प्लगइन AVideo को संस्करण 26.1 या उससे ऊपर के संस्करण में अपडेट करें ताकि भेद्यता कम हो सके। यह अपडेट check.ffmpeg.json.php एंडपॉइंट में प्रमाणीकरण की कमी को ठीक करता है, जिससे FFmpeg सर्वर कॉन्फ़िगरेशन जानकारी का अनधिकृत प्रकटीकरण रुक जाता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-35450 wwbn/avideo में एक SSRF भेद्यता है जो हमलावरों को प्रमाणीकरण के बिना FFmpeg रिमोट सर्वर कॉन्फ़िगरेशन की जांच करने की अनुमति देती है।
यदि आप wwbn/avideo के संस्करण 26.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, wwbn/avideo को संस्करण 26.1 में अपग्रेड करें।
वर्तमान में, इस CVE के लिए कोई ज्ञात सार्वजनिक शोषण नहीं है, लेकिन SSRF भेद्यताओं का इतिहास बताता है कि इसका शोषण किया जा सकता है।
wwbn/avideo आधिकारिक सलाहकार के लिए, कृपया wwbn की वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।