Platform
php
Component
wwbn/avideo
Opgelost in
26.0.1
26.0.1
Deze kwetsbaarheid is een Server-Side Request Forgery (SSRF) in de wwbn/avideo Live plugin, specifiek in het bestand plugin/Live/standAloneFiles/saveDVR.json.php. Een aanvaller kan deze kwetsbaarheid misbruiken om server-side verzoeken uit te voeren, wat kan leiden tot ongeautoriseerde toegang tot interne bronnen. De kwetsbaarheid treedt op in versies van de plugin die kleiner of gelijk zijn aan 26.0. Een upgrade naar versie 26.0 is vereist om de kwetsbaarheid te verhelpen.
De SSRF-kwetsbaarheid stelt een aanvaller in staat om verzoeken uit te voeren vanuit de server, alsof ze afkomstig zijn van de server zelf. Dit kan worden gebruikt om toegang te krijgen tot interne diensten en bronnen die normaal gesproken niet toegankelijk zijn vanaf het openbare internet. Een aanvaller kan bijvoorbeeld interne API's aanroepen, gevoelige configuratiebestanden ophalen of zelfs proberen verbinding te maken met andere interne systemen. De impact is aanzienlijk, aangezien de aanvaller potentieel volledige controle kan krijgen over de server en de bijbehorende data. De kwetsbaarheid is vergelijkbaar met SSRF-aanvallen die in andere webapplicaties zijn waargenomen, waarbij de server wordt misbruikt om verzoeken naar interne bronnen te sturen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-19. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend, maar de SSRF-aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De CVSS-score van 9.1 (CRITICAL) geeft aan dat de kwetsbaarheid een hoge mate van ernst heeft.
Organizations utilizing the AVideo Live plugin in standalone mode are particularly at risk. This includes deployments where the plugin is used to stream live video content and requires direct access to internal resources for configuration or data storage. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised plugin instance could potentially be used to attack other users on the same server.
• php: Examine access logs for requests to plugin/Live/standAloneFiles/saveDVR.json.php with unusual values in the webSiteRootURL parameter. Look for requests using protocols like file:// or gopher://.
grep 'saveDVR.json.php.*webSiteRootURL=' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with a crafted webSiteRootURL parameter pointing to an internal resource. Verify that the server attempts to access the resource.
curl 'http://your-avideo-server/plugin/Live/standAloneFiles/saveDVR.json.php?webSiteRootURL=http://localhost/sensitive_data' -sdisclosure
Exploit Status
EPSS
0.08% (24% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de wwbn/avideo Live plugin naar versie 26.0 of hoger. Deze versie bevat de benodigde correcties om de SSRF-kwetsbaarheid te verhelpen. Als een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) om verzoeken met verdachte URL's te blokkeren. Configureer de WAF om URL's met interne IP-adressen of ongebruikelijke schema's te filteren. Controleer ook de configuratie van de plugin en zorg ervoor dat de webSiteRootURL parameter niet direct wordt gebruikt in server-side verzoeken. Implementeer een strikte URL-validatie en allowlisting om te voorkomen dat een aanvaller de parameter kan misbruiken.
Werk AVideo bij naar versie 26.0 of hoger. Deze versie bevat een correctie voor de SSRF kwetsbaarheid in de Live plugin.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33351 is a critical SSRF vulnerability in the AVideo Live plugin, allowing attackers to make server-side requests to arbitrary resources. Versions affected are those prior to 26.0.
You are affected if you are using the AVideo Live plugin in standalone mode and are running a version prior to 26.0.
Upgrade the AVideo Live plugin to version 26.0 or later. As a temporary workaround, implement a WAF rule to block suspicious webSiteRootURL values.
While no confirmed exploitation is currently reported, the ease of exploitation suggests a high probability of active scanning and potential attacks.
Refer to the official AVideo security advisory for detailed information and updates regarding CVE-2026-33351.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.