Platform
php
Component
wwbn/avideo
Opgelost in
26.0.1
26.0.1
CVE-2026-33513 beschrijft een path traversal kwetsbaarheid in wwbn/avideo. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerd toegang te krijgen tot bestanden op de server, wat kan leiden tot data-exfiltratie en potentieel code-uitvoering. De kwetsbaarheid beïnvloedt versies van wwbn/avideo tot en met 26.0. Een patch is beschikbaar en wordt sterk aangeraden.
Een succesvolle exploitatie van CVE-2026-33513 kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de server. De kwetsbaarheid bevindt zich in een ongeauthenticeerde API endpoint (plugin/API/get.json.php), waardoor een aanvaller de include pad kan manipuleren. Dit maakt het mogelijk om willekeurige PHP-bestanden onder de webroot te includeren. In tests werd bestandsonthulling en code-uitvoering van bestaande PHP-content bevestigd (bijvoorbeeld view/about.php). Als een aanvaller in staat is om een PHP-bestand te plaatsen of te controleren, kan dit escaleren naar Remote Code Execution (RCE). De impact is aanzienlijk, aangezien de aanvaller potentieel volledige controle over de server kan verkrijgen.
Op het moment van publicatie (2026-03-20) is er geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn ook geen publieke Proof-of-Concept (PoC) exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). De CVSS score van 8.6 (HIGH) duidt op een significant risico en vereist onmiddellijke aandacht.
Organizations using wwbn/avideo in production environments, particularly those with publicly accessible endpoints, are at risk. Shared hosting environments where multiple users share the same server and file system are especially vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other users' data.
• wordpress / composer / npm:
grep -r 'include($_GET['locale']);' /var/www/avideo/• generic web:
curl -I 'http://your-avideo-site.com/plugin/API/get.json.php?locale=../../../../etc/passwd' | grep 'HTTP/1.1' # Check for 403 or 200disclosure
Exploit Status
EPSS
0.17% (39% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33513 is het upgraden naar een beveiligde versie van wwbn/avideo. Indien een upgrade direct niet mogelijk is, overweeg dan om de API endpoint te blokkeren via een Web Application Firewall (WAF) of proxy. Configureer de WAF om verzoeken naar plugin/API/get.json.php met verdachte parameters te blokkeren. Een andere mitigatie is het implementeren van strenge input validatie en sanitatie op de APIName=locale parameter om path traversal te voorkomen. Controleer ook of er geen onnodige PHP-bestanden in de webroot aanwezig zijn. Na de upgrade, bevestig de correcte werking door te proberen de kwetsbare API endpoint te benaderen en te verifiëren dat de toegang geweigerd wordt.
Actualizar AVideo a una versión parcheada que solucione la vulnerabilidad de inclusión de archivos locales. Actualmente no hay versiones parcheadas disponibles, por lo que se recomienda monitorear las actualizaciones de seguridad del proveedor y aplicar las mitigaciones recomendadas, como restringir el acceso a la API vulnerable o implementar validación de entrada.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33513 is a path traversal vulnerability in wwbn/avideo that allows attackers to include arbitrary PHP files, potentially leading to code execution.
You are affected if you are using wwbn/avideo versions 26.0 and prior. Assess your environment immediately.
Upgrade to a patched version of wwbn/avideo as soon as it becomes available. Until then, implement WAF rules and restrict access to the vulnerable endpoint.
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants immediate action.
Refer to the wwbn/avideo security advisories on their official website for the latest information and patch releases.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.