Platform
php
Component
wwbn/avideo
Opgelost in
26.0.1
25.0.1
CVE-2026-33292 beschrijft een Path Traversal kwetsbaarheid in wwbn/avideo, waardoor ongeauthenticeerde aanvallers potentieel gevoelige video content kunnen inzien. Deze kwetsbaarheid ontstaat door een split-oracle tussen autorisatie en bestands toegang. De kwetsbaarheid treft versies van wwbn/avideo tot en met 25.0. Een fix is beschikbaar in versie 26.0.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerd toegang te krijgen tot private en betaalde video's binnen de wwbn/avideo omgeving. Dit kan leiden tot schending van de privacy, verlies van intellectueel eigendom en reputatieschade. De impact is aanzienlijk omdat de kwetsbaarheid ongeauthenticeerde toegang toestaat, wat betekent dat elke externe gebruiker potentieel misbruik kan maken van de kwetsbaarheid. De kwetsbaarheid maakt gebruik van een inconsistentie in de manier waarop de videoDirectory parameter wordt behandeld, waardoor traversal mogelijk is.
De kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-03-19. Er is momenteel geen informatie beschikbaar over actieve exploits of campagnes. Er zijn geen publieke Proof-of-Concept (PoC) exploits bekend. De ernst van de kwetsbaarheid is hoog, met een CVSS score van 7.5, wat duidt op een aanzienlijke kans op misbruik.
Organizations utilizing wwbn/avideo for video streaming, particularly those with private or paid content, are at risk. Shared hosting environments where multiple users share the same instance of wwbn/avideo are especially vulnerable, as an attacker could potentially exploit this vulnerability to access content belonging to other users.
• php: Examine access logs for requests containing .. sequences in the videoDirectory parameter of the view/hls.php endpoint.
• php: Search for code patterns related to divergent path handling of the videoDirectory parameter, specifically where one path truncates at / and another preserves .. sequences.
• generic web: Use curl to test for path traversal by appending ../ sequences to the videoDirectory parameter and observing the response.
curl 'http://your-avideo-instance/view/hls.php?videoDirectory=../../../../etc/passwd'disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 26.0 van wwbn/avideo, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de view/hls.php endpoint via een Web Application Firewall (WAF) of proxy. Configureer de WAF om requests met .. in de videoDirectory parameter te blokkeren. Controleer de configuratie van de webserver om te verzekeren dat directory listing is uitgeschakeld. Na de upgrade, bevestig de fix door te proberen een private video te streamen via een request met een traversal sequence in de videoDirectory parameter; dit zou moeten falen.
Actualice AVideo a la versión 26.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal en el endpoint HLS.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33292 is a Path Traversal vulnerability in wwbn/avideo that allows unauthenticated access to private videos due to a split-oracle condition in the videoDirectory parameter.
You are affected if you are using wwbn/avideo version 25.0 or earlier. Upgrade to version 26.0 to mitigate the vulnerability.
The recommended fix is to upgrade to version 26.0 of wwbn/avideo. As a temporary workaround, implement a WAF rule to filter requests containing .. sequences.
As of the current disclosure date, there are no confirmed reports of active exploitation, but the vulnerability's simplicity suggests a potential for rapid exploitation.
Refer to the official wwbn/avideo security advisory for detailed information and updates regarding CVE-2026-33292.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.