Platform
php
Component
wwbn/avideo
Opgelost in
26.0.1
25.0.1
CVE-2026-33293 beschrijft een Path Traversal kwetsbaarheid in de wwbn/avideo component, specifiek in het plugin/CloneSite/cloneServer.json.php bestand. Deze kwetsbaarheid stelt een aanvaller in staat om, met behulp van path traversal sequences, willekeurige bestanden op de server te verwijderen, wat kan leiden tot een complete denial of service. De kwetsbaarheid treft versies van wwbn/avideo tot en met 25.0, en een upgrade naar versie 26.0 is vereist om deze te verhelpen.
De impact van deze Path Traversal kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om willekeurige bestanden op de server te verwijderen. Dit omvat cruciale applicatiebestanden zoals configuration.php, wat resulteert in een denial of service. Verder kan het verwijderen van beveiligingskritieke bestanden de aanvaller in staat stellen om verdere aanvallen uit te voeren. De kwetsbaarheid is afhankelijk van de aanwezigheid van geldige clone credentials, maar de mogelijkheid om bestanden te verwijderen biedt een aanzienlijke aanvalsoppervlakte.
Op dit moment is er geen openbare exploitatie van CVE-2026-33293 bekend. De kwetsbaarheid is openbaar gemaakt op 2026-03-19. De CVSS score van 8.1 (HIGH) duidt op een potentieel significant risico. Er is geen vermelding op de CISA KEV catalogus op het moment van schrijven.
Organizations utilizing wwbn/avideo versions 25.0 and earlier, particularly those with publicly accessible clone functionality, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to impact other users' data and configurations.
• wordpress / composer / npm:
grep -r 'unlink($_GET["deleteDump"]);' /var/www/avideo/• generic web:
curl -I 'http://your-avideo-site.com/plugin/CloneSite/cloneServer.json.php?deleteDump=../../../../etc/passwd' | grep '403 Forbidden'disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33293 is het upgraden naar versie 26.0 van wwbn/avideo. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de clone gebruikersaccount om de impact van een succesvolle exploitatie te minimaliseren. Implementeer een Web Application Firewall (WAF) met regels die path traversal pogingen detecteren en blokkeren. Controleer de cloneServer.json.php configuratie op ongebruikelijke bestandsrechten. Na de upgrade, bevestig de fix door te proberen een bestand buiten de toegestane directory te verwijderen met behulp van een path traversal sequence.
Actualice AVideo a la versión 26.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el plugin CloneSite, impidiendo la eliminación arbitraria de archivos en el servidor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33293 is a Path Traversal vulnerability affecting wwbn/avideo versions up to 25.0, allowing attackers to delete arbitrary files on the server.
You are affected if you are using wwbn/avideo version 25.0 or earlier. Upgrade to version 26.0 to resolve the vulnerability.
Upgrade to version 26.0 of wwbn/avideo. As a temporary workaround, restrict access to the vulnerable file and implement WAF rules.
As of now, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the official wwbn/avideo security advisory for detailed information and updates regarding CVE-2026-33293.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.