Platform
php
Component
wwbn/avideo
Opgelost in
26.0.1
26.0.1
CVE-2026-33478 represents a critical Remote Code Execution (RCE) vulnerability discovered in the AVideo CloneSite plugin. This vulnerability allows an unauthenticated attacker to gain complete control over a system by chaining together multiple exploits, including secret key exposure, database dumps containing MD5-hashed admin passwords, and ultimately, OS command injection. The vulnerability impacts versions of the plugin up to and including 26.0, and a fix is pending release.
CVE-2026-33478 in de CloneSite plugin van AVideo vormt een kritiek risico vanwege een keten van kwetsbaarheden die een niet-geauthenticeerde aanvaller in staat stelt om code op afstand uit te voeren. Het probleem ligt in de blootlegging van klonsleutels via de clones.json.php endpoint zonder authenticatie. Deze sleutels kunnen worden gebruikt om een volledige database dump te triggeren via cloneServer.json.php. De resulterende dump bevat administrator wachtwoordhashes die opgeslagen zijn in MD5-formaat, welke gemakkelijk gekraakt kunnen worden. Zodra administrator toegang is verkregen, exploiteert de aanvaller een OS commando injectie in de rsync commando constructie, waardoor de server volledig wordt gecompromitteerd. Het ontbreken van een beschikbare fix verergert de situatie, waardoor gebruikers kwetsbaar achterblijven.
Een aanvaller zou deze kwetsbaarheid kunnen exploiteren zonder inloggegevens te hoeven gebruiken. Het proces begint met het ophalen van de klonsleutels via de clones.json.php endpoint. Met deze sleutels kan de aanvaller een volledige database dump aanvragen via cloneServer.json.php. De database, die MD5 wachtwoordhashes voor beheerders bevat, wordt vervolgens gekraakt. Ten slotte gebruikt de aanvaller de administrator toegang om willekeurige commando's op de server uit te voeren via commando injectie in de rsync commando. De eenvoud van exploitatie en het gebrek aan authenticatie maken deze kwetsbaarheid een aantrekkelijk doelwit voor aanvallers met verschillende niveaus van vaardigheid.
Organizations utilizing AVideo CloneSite plugin versions 26.0 and earlier are at significant risk. This includes businesses using AVideo for video cloning and management, particularly those with publicly accessible instances of the plugin. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's instance could potentially lead to the compromise of others.
• php: Examine web server access logs for requests to /clones.json.php and /cloneServer.json.php without authentication.
• php: Search plugin files for the rsync command and any user-controlled input used in its construction. Look for instances where user input is directly incorporated into the command without proper sanitization.
• linux / server: Monitor system logs (e.g., /var/log/syslog, /var/log/auth.log) for unusual processes or commands being executed, particularly those related to rsync.
• generic web: Use curl to test the /clones.json.php endpoint without authentication. A successful response indicates the vulnerability is present.
curl http://your-avideo-server/clones.json.phpdisclosure
Exploit Status
EPSS
1.95% (83% percentiel)
CISA SSVC
CVSS-vector
Gezien het ontbreken van een officiële fix voor CVE-2026-33478, is de meest effectieve directe mitigatie om de AVideo CloneSite plugin uit te schakelen of te verwijderen. Als de plugin essentieel is, overweeg dan om extra beveiligingsmaatregelen te implementeren, zoals het beperken van de database toegang, het versterken van wachtwoordbeleid (het vermijden van MD5), en actief de server te monitoren op verdachte activiteiten. Bovendien wordt aanbevolen om de broncode van de plugin te bekijken om handmatig kwetsbaarheden te identificeren en te corrigeren, hoewel dit aanzienlijke technische expertise vereist. Het up-to-date houden van de serversoftware en het toepassen van algemene beveiligingspatches kan ook helpen om het risico te verminderen. Het wordt sterk aangeraden om een alternatief te zoeken voor de CloneSite plugin totdat een officiële oplossing is uitgebracht.
Actualice AVideo a una versión posterior a la 26.0. La actualización corrige las vulnerabilidades que permiten la ejecución remota de código no autenticado.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Dit betekent dat de AVideo ontwikkelaar geen update heeft uitgebracht om deze kwetsbaarheid te verhelpen. Dit vergroot het risico en vereist alternatieve mitigatiemaatregelen.
MD5 is een oudere cryptografische hash-algoritme die wijdverbreid als kwetsbaar is gebleken voor collision aanvallen. Er bestaan tools en voorgecalculeerde tabellen waarmee MD5 wachtwoordhashes in relatief korte tijd gekraakt kunnen worden.
Het is een techniek waarmee een aanvaller willekeurige commando's op het onderliggende besturingssysteem kan uitvoeren via een kwetsbare applicatie.
Als u de CloneSite plugin van AVideo gebruikt, is de kans groot dat u kwetsbaar bent. U kunt proberen toegang te krijgen tot clones.json.php op uw website om te controleren of de geheime sleutels worden weergegeven zonder authenticatie.
Als de plugin essentieel is, implementeer dan extra beveiligingsmaatregelen zoals het beperken van de database toegang, het versterken van wachtwoorden en het monitoren van de server op verdachte activiteiten.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.