Platform
php
Component
wwbn/avideo
Opgelost in
26.0.1
25.0.1
Deze kwetsbaarheid, aangeduid als CVE-2026-33039, is een Server-Side Request Forgery (SSRF) in de plugin/LiveLinks/proxy.php endpoint van wwbn/avideo. Een aanvaller kan interne services bereiken, zoals cloud metadata en RFC1918-adressen, door een HTTP-redirect te misbruiken. De kwetsbaarheid treedt op in versies van wwbn/avideo tot en met 25.0. Een upgrade naar versie 26.0 verhelpt deze kwetsbaarheid.
Een succesvolle exploitatie van CVE-2026-33039 stelt een aanvaller in staat om ongeautoriseerde toegang te krijgen tot interne netwerkbronnen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan het blootleggen van gevoelige informatie omvatten, zoals cloud metadata, interne API-sleutels en andere vertrouwelijke gegevens. De aanvaller kan ook interne services misbruiken om verdere aanvallen uit te voeren, zoals het scannen van het interne netwerk of het uitvoeren van code. De impact is aanzienlijk, aangezien de kwetsbaarheid een directe route biedt naar interne systemen.
Er is momenteel geen publieke exploitatie van CVE-2026-33039 bekend. De kwetsbaarheid is openbaar gemaakt op 2026-03-17. De EPSS-score is nog niet bekend, maar gezien de relatieve eenvoud van de exploitatie en de potentieel hoge impact, is een medium tot hoge waarschijnlijkheid van exploitatie te verwachten. Controleer de NVD en CISA-catalogus voor updates.
Organizations using wwbn/avideo version 25.0 or earlier, particularly those with cloud deployments or internal services accessible via HTTP, are at significant risk. Shared hosting environments where multiple users share the same wwbn/avideo instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• php:
grep -r 'fakeBrowser()' /path/to/wwbn/avideo/plugin/LiveLinks/• generic web:
curl -I 'http://your-avideo-server/plugin/LiveLinks/proxy.php?url=http://evil.com/redirect' | grep 'Location:'• generic web:
grep -r 'isSSRFSafeURL()' /path/to/wwbn/avideo/disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33039 is het upgraden van wwbn/avideo naar versie 26.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) om HTTP-redirects naar interne bronnen te blokkeren. Configureer uw WAF om requests met redirects naar interne IP-adressen of domeinen te detecteren en te blokkeren. Controleer ook de configuratie van uw proxy-server om te zorgen dat deze geen redirects naar interne bronnen toestaat. Na de upgrade, verifieer de fix door een testrequest te sturen met een HTTP-redirect naar een interne bron en controleer of deze wordt geblokkeerd.
Actualiseer AVideo naar versie 26.0 of hoger. Deze versie corrigeert de SSRF kwetsbaarheid in de LiveLinks plugin, waardoor aanvallers geen toegang meer kunnen krijgen tot interne services via gecontroleerde HTTP redirects.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33039 is a HIGH severity SSRF vulnerability affecting wwbn/avideo versions 25.0 and below. It allows attackers to bypass URL validation via HTTP redirects, potentially accessing internal services.
You are affected if you are using wwbn/avideo version 25.0 or earlier. Upgrade to version 26.0 to mitigate the vulnerability.
Upgrade to wwbn/avideo version 26.0 or later. As a temporary workaround, implement a WAF rule to block suspicious redirects.
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation suggests it could become a target.
Refer to the official wwbn/avideo security advisory for detailed information and updates regarding CVE-2026-33039.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.