プラットフォーム
php
コンポーネント
wwbn/avideo
修正版
26.0.1
26.0.1
CVE-2026-33478 represents a critical Remote Code Execution (RCE) vulnerability discovered in the AVideo CloneSite plugin. This vulnerability allows an unauthenticated attacker to gain complete control over a system by chaining together multiple exploits, including secret key exposure, database dumps containing MD5-hashed admin passwords, and ultimately, OS command injection. The vulnerability impacts versions of the plugin up to and including 26.0, and a fix is pending release.
AVideoのCloneSiteプラグインにおけるCVE-2026-33478は、認証されていない攻撃者がリモートコード実行を達成できる一連の脆弱性により、重大なリスクをもたらします。問題は、認証なしでclones.json.phpエンドポイントを介してクローンシークレットキーを公開することにあります。これらのキーは、cloneServer.json.phpを介して完全なデータベースダンプをトリガーするために使用できます。結果として得られるダンプには、MD5形式で保存された管理者パスワードハッシュが含まれており、これは簡単にクラックできます。管理者アクセスを取得すると、攻撃者はrsyncコマンドの構築内のOSコマンドインジェクションを悪用し、サーバー全体を侵害します。利用可能な修正プログラムがないことは状況を悪化させ、ユーザーを脆弱な状態に放置します。
攻撃者は、資格情報なしでこの脆弱性を悪用できます。プロセスは、clones.json.phpエンドポイントを介してクローンシークレットキーを取得することから始まります。これらのキーを使用すると、攻撃者はcloneServer.json.phpを介して完全なデータベースダンプを要求できます。管理者用のMD5パスワードハッシュを含むデータベースは、次にクラックされます。最後に、攻撃者はrsyncコマンド内のコマンドインジェクションを介してサーバー上で任意のコマンドを実行するために、管理者アクセスを使用します。Exploitの容易さと認証の欠如により、この脆弱性はさまざまなスキルレベルの攻撃者にとって魅力的なターゲットになります。
Organizations utilizing AVideo CloneSite plugin versions 26.0 and earlier are at significant risk. This includes businesses using AVideo for video cloning and management, particularly those with publicly accessible instances of the plugin. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's instance could potentially lead to the compromise of others.
• php: Examine web server access logs for requests to /clones.json.php and /cloneServer.json.php without authentication.
• php: Search plugin files for the rsync command and any user-controlled input used in its construction. Look for instances where user input is directly incorporated into the command without proper sanitization.
• linux / server: Monitor system logs (e.g., /var/log/syslog, /var/log/auth.log) for unusual processes or commands being executed, particularly those related to rsync.
• generic web: Use curl to test the /clones.json.php endpoint without authentication. A successful response indicates the vulnerability is present.
curl http://your-avideo-server/clones.json.phpdisclosure
エクスプロイト状況
EPSS
1.95% (83% パーセンタイル)
CISA SSVC
CVE-2026-33478に対する公式な修正プログラムがないため、最も効果的な即時の軽減策は、AVideoのCloneSiteプラグインを無効化または削除することです。プラグインが不可欠な場合は、データベースアクセスを制限したり、パスワードポリシーを強化したり(MD5の使用を避ける)、サーバーを疑わしいアクティビティに対して積極的に監視したりするなど、追加のセキュリティ対策を実装することを検討してください。さらに、プラグインのソースコードを調べて手動で脆弱性を特定して修正することをお勧めしますが、これにはかなりの技術的専門知識が必要です。サーバーソフトウェアを最新の状態に保ち、一般的なセキュリティパッチを適用することも、リスクを軽減するのに役立ちます。公式なソリューションがリリースされるまで、CloneSiteプラグインの代替手段を探すことを強くお勧めします。
Actualice AVideo a una versión posterior a la 26.0. La actualización corrige las vulnerabilidades que permiten la ejecución remota de código no autenticado.
脆弱性分析と重要アラートをメールでお届けします。
これは、AVideoの開発者がこの脆弱性を修正するためのアップデートをリリースしていないことを意味します。これによりリスクが増加し、代替の軽減策が必要になります。
MD5は、衝突攻撃に対して脆弱であることが広く実証されている、古い暗号化ハッシュアルゴリズムです。MD5パスワードハッシュを比較的短い時間でクラックできるツールと事前計算されたテーブルが存在します。
これは、脆弱なアプリケーションを介して、アンダーラインのオペレーティングシステム上で任意のコマンドを実行できる技術です。
AVideoのCloneSiteプラグインを使用している場合は、脆弱である可能性が高くなります。シークレットキーが認証なしで公開されているかどうかを確認するために、Webサイトでclones.json.phpにアクセスしてみてください。
プラグインが不可欠な場合は、データベースアクセスを制限したり、パスワードを強化したり、サーバーを疑わしいアクティビティに対して監視したりするなど、追加のセキュリティ対策を実装してください。
CVSS ベクトル