Platform
php
Component
wwbn/avideo
Opgelost in
22.0.1
21.0.1
CVE-2026-27732 beschrijft een Authentiek Server-Side Request Forgery (SSRF) kwetsbaarheid in AVideo. Deze kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om server-side requests naar willekeurige URL's te initiëren, inclusief interne netwerk endpoints. De kwetsbaarheid treft AVideo versies tot en met 21.0.0. Een fix is beschikbaar in versie 22.0.
Een succesvolle exploitatie van deze SSRF kwetsbaarheid kan aanzienlijke gevolgen hebben. Een geauthenticeerde aanvaller kan interne services benaderen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot het ophalen van gevoelige data, zoals configuratiebestanden, API sleutels of andere interne resources. Verder kan de aanvaller deze SSRF kwetsbaarheid gebruiken om interne services te misbruiken, bijvoorbeeld om een denial-of-service aan te vallen of om toegang te krijgen tot andere systemen binnen het interne netwerk. De impact is vergelijkbaar met andere SSRF kwetsbaarheden waarbij interne services blootgesteld worden aan externe toegang.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-02-25. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de SSRF aard van de kwetsbaarheid maakt exploitatie relatief eenvoudig. De EPSS score is momenteel niet bekend, maar gezien de publieke bekendmaking en de relatieve eenvoud van exploitatie, wordt een medium tot hoge waarschijnlijkheid van exploitatie aangenomen. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
Organizations utilizing AVideo versions prior to 22.0, particularly those with internal services accessible via the network, are at risk. Shared hosting environments where multiple users share the same AVideo instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit the SSRF vulnerability.
• php: Examine access logs for requests to aVideoEncoder.json.php with unusual or unexpected downloadURL parameters. Look for URLs pointing to internal IP addresses or non-standard ports.
grep 'aVideoEncoder.json.php' access.log | grep 'downloadURL='• generic web: Use curl to test the endpoint with a known internal URL and verify that the request is blocked.
curl -v 'http://<avideo_server>/aVideoEncoder.json.php?downloadURL=http://169.254.169.254/mgmt/inventory' • generic web: Check response headers for unexpected content types or error messages indicating an internal server error when attempting an SSRF request.
disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-27732 is het upgraden naar AVideo versie 22.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een upgrade direct niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) of proxy die requests naar externe URL's beperkt. Configureer de WAF om requests met verdachte URL's te blokkeren. Controleer de aVideoEncoder.json.php API endpoint configuratie en implementeer strikte validatie en een allow-list voor de downloadURL parameter. Monitor de AVideo logs op ongebruikelijke requests die duiden op een poging tot SSRF exploitatie.
Actualiseer AVideo naar versie 22.0 of hoger. Deze versie bevat de correctie voor de SSRF kwetsbaarheid. De update kan worden uitgevoerd via het beheerpaneel of door de nieuwste versie van de software te downloaden van de officiële website en de update-instructies te volgen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27732 is a HIGH severity SSRF vulnerability affecting AVideo versions prior to 22.0. It allows authenticated users to trigger server-side requests to arbitrary URLs, potentially exposing internal data.
You are affected if you are using AVideo versions 21.0.0 or earlier. Upgrade to version 22.0 to resolve the vulnerability.
Upgrade to AVideo version 22.0. As a temporary workaround, implement a WAF rule to block suspicious URLs or enforce stricter input validation on the downloadURL parameter.
There is currently no evidence of active exploitation, but the SSRF nature of the vulnerability makes it a potential target.
Refer to the official AVideo security advisory for detailed information and updates: [https://www.avideo.com/security/advisories](https://www.avideo.com/security/advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.