Platform
php
Component
wwbn/avideo
Opgelost in
26.0.1
26.0.1
CVE-2026-33493 beschrijft een Path Traversal kwetsbaarheid in de objects/import.json.php endpoint van wwbn/avideo. Deze kwetsbaarheid stelt geauthenticeerde gebruikers in staat om bestanden buiten de toegestane videos/ directory te lezen, wat kan leiden tot datalekken en ongeautoriseerde toegang tot gevoelige informatie. De kwetsbaarheid treft versies van wwbn/avideo tot en met 26.0. Een patch is beschikbaar en wordt aanbevolen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om willekeurige bestanden op het bestandssysteem te lezen. Dit omvat niet alleen video bestanden van andere gebruikers, maar ook configuratiebestanden, logbestanden en andere gevoelige data. De impact kan variëren van het blootleggen van gebruikersgegevens tot het verkrijgen van toegang tot de onderliggende serverinfrastructuur. De kwetsbaarheid is vergelijkbaar met eerdere Path Traversal kwetsbaarheden waarbij onvoldoende validatie van gebruikersinvoer resulteerde in ongeautoriseerde toegang tot bestanden. De blast radius is afhankelijk van de gevoeligheid van de bestanden die toegankelijk zijn via de kwetsbaarheid.
De kwetsbaarheid is openbaar bekend gemaakt op 2026-03-20. Er is geen informatie beschikbaar over actieve exploitatiecampagnes. De CVSS score van 7.1 (HIGH) duidt op een significant risico. Er zijn momenteel geen public proof-of-concept exploits beschikbaar, maar de eenvoud van de kwetsbaarheid maakt dit waarschijnlijk in de toekomst. Controleer de CISA KEV catalogus voor updates.
Organizations using wwbn/avideo for video management, particularly those with shared hosting environments or legacy configurations, are at risk. Users with upload permissions within the application are especially vulnerable, as they are the ones who can exploit this vulnerability to access sensitive files.
• php / server:
grep -r 'fileURI' /var/www/avideo/• php / server:
find /var/www/avideo/ -name 'import.json.php'• generic web:
curl -I http://your-avideo-server/objects/import.json.php?fileURI=../../../../etc/passwddisclosure
Exploit Status
EPSS
0.08% (23% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar een beveiligde versie van wwbn/avideo waar een patch beschikbaar is. Indien een upgrade niet direct mogelijk is, kan een tijdelijke oplossing bestaan uit het implementeren van een Web Application Firewall (WAF) of proxy om de import.json.php endpoint te beveiligen. Configureer de WAF om alle verzoeken met een fileURI parameter te inspecteren en te blokkeren die niet eindigen op .mp4 en niet binnen de videos/ directory vallen. Daarnaast kan het beperken van de upload rechten van gebruikers helpen om de impact van een succesvolle exploitatie te verminderen. Na de upgrade, verifieer de fix door te proberen een bestand buiten de videos/ directory te importeren via de import.json.php endpoint; dit zou moeten mislukken.
Actualice AVideo a una versión posterior a la 26.0. La vulnerabilidad se soluciona en el commit e110ff542acdd7e3b81bdd02b8402b9f6a61ad78. Esto evitará el recorrido de directorios y la posible lectura/eliminación de archivos arbitrarios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33493 is a Path Traversal vulnerability in wwbn/avideo versions 26.0 and earlier, allowing authenticated users to read arbitrary files.
You are affected if you are using wwbn/avideo version 26.0 or earlier and have not yet applied a patch.
Upgrade to a patched version of wwbn/avideo as soon as it becomes available. Until then, implement WAF rules or restrict access to the vulnerable endpoint.
No active exploitation has been confirmed at this time, but the vulnerability's ease of exploitation suggests it could become a target.
Please refer to the wwbn/avideo security advisories page for updates and official information regarding CVE-2026-33493.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.