Platform
php
Component
wwbn/avideo
Opgelost in
26.0.1
26.0.1
CVE-2026-33681 beschrijft een Path Traversal kwetsbaarheid in wwbn/avideo versies tot en met 26.0. Deze kwetsbaarheid stelt een aanvaller in staat om, via een ongeautoriseerde toegang, potentieel schadelijke SQL-query's uit te voeren tegen de applicatiedatabase. De kwetsbaarheid is publiekelijk bekend gemaakt op 25 maart 2026 en vereist een upgrade of mitigatie om de risico's te verminderen.
Een succesvolle exploitatie van CVE-2026-33681 kan leiden tot ongeautoriseerde toegang tot en manipulatie van de applicatiedatabase. Een aanvaller kan de name parameter in de objects/pluginRunDatabaseScript.json.php endpoint gebruiken om paden buiten de plugin directory te traverseren en de inhoud van install/install.sql bestanden uit te voeren als SQL-query's. Dit kan resulteren in data-exfiltratie, data-corruptie, of zelfs volledige controle over de database. De impact is vergelijkbaar met scenario's waarbij SQL-injectie direct mogelijk is, maar dan via een indirecte pad traversal route. De blast radius is afhankelijk van de privileges van de databasegebruiker die de applicatie gebruikt.
De kwetsbaarheid is publiekelijk bekend gemaakt op 25 maart 2026. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke Proof-of-Concept (PoC) exploits bekend, maar de complexiteit van de exploitatie is relatief laag, wat de kans op toekomstige exploitatie verhoogt. De CISA KEV status is momenteel onbekend.
Organizations using wwbn/avideo in environments where administrators have access to the plugin management interface are at risk. Shared hosting environments where multiple users share the same server and database are particularly vulnerable, as an attacker could potentially exploit this vulnerability to compromise other users' data. Legacy configurations with outdated security practices are also at increased risk.
• php: Examine access logs for requests to objects/pluginRunDatabaseScript.json.php with unusual or potentially malicious values in the name parameter. Use grep to search for patterns like ../ or absolute paths.
grep 'pluginRunDatabaseScript.json.php.*../' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with various payloads, observing the response for errors or unexpected behavior.
curl -X POST -d 'name=../../../../etc/passwd' http://your-avideo-server/objects/pluginRunDatabaseScript.json.phpdisclosure
Exploit Status
EPSS
0.05% (17% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33681 is het upgraden naar een beveiligde versie van wwbn/avideo. Indien een upgrade momenteel niet mogelijk is, kunnen tijdelijke mitigaties worden toegepast. Implementeer Web Application Firewall (WAF) regels om de objects/pluginRunDatabaseScript.json.php endpoint te blokkeren voor ongeautoriseerde toegang. Controleer de configuratie van de applicatie en zorg ervoor dat de plugin directory correct is beveiligd en dat er geen onbevoegde toegang mogelijk is. Na de upgrade, bevestig de correcte werking van de applicatie en controleer de logbestanden op verdachte activiteiten.
Actualice AVideo a una versión posterior a la 26.0. La actualización corrige la vulnerabilidad de path traversal en el endpoint `pluginRunDatabaseScript.json.php`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33681 is a Path Traversal vulnerability in wwbn/avideo that allows attackers to execute arbitrary SQL queries against the database by manipulating the 'name' parameter.
You are affected if you are using wwbn/avideo versions 26.0 or earlier. This vulnerability impacts systems where administrators have access to the plugin management interface.
Upgrade to a patched version of wwbn/avideo. As a temporary workaround, implement a WAF rule to block or filter the 'name' parameter.
While no public exploits are currently known, the vulnerability's nature suggests a potential for exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the official wwbn/avideo security advisories for the most up-to-date information and patch details. Check their website and relevant security mailing lists.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.