Platform
php
Component
wwbn/avideo
Opgelost in
26.0.1
14.3.1
26.0.1
CVE-2026-33766 describes a Server-Side Request Forgery (SSRF) vulnerability discovered in wwbn/avideo versions up to 26.0. This flaw allows attackers to bypass SSRF protection mechanisms by manipulating HTTP redirects, potentially granting access to internal resources. While a direct fix is pending, understanding the vulnerability and implementing temporary mitigations is crucial for protecting your systems.
CVE-2026-33766 in AVideo stelt een aanvaller in staat om Server-Side Request Forgery (SSRF)-aanvallen uit te voeren. De component isSSRFSafeURL() probeert SSRF te voorkomen door de IP-adressen van URL's te valideren, maar het valideert de doel-URL niet opnieuw nadat urlgetcontents() HTTP-doorverwijzingen volgt. Dit betekent dat een aanvaller het systeem kan misleiden om verzoeken naar interne bronnen te sturen, zelfs als de initiële URL veilig lijkt. Het ontbreken van hervalidatie na de doorverwijzing maakt het mogelijk om de geïmplementeerde bescherming te omzeilen, waardoor de deur openstaat voor de blootlegging van gevoelige informatie of ongeautoriseerde acties binnen het interne netwerk. De ernst van deze fout ligt in het potentieel om de onderliggende infrastructuur in gevaar te brengen.
Een aanvaller zou deze kwetsbaarheid kunnen exploiteren door een kwaadaardige webserver in te stellen die op een initiële aanvraag reageert met een HTTP-doorverwijzing naar een interne bron binnen het AVideo-netwerk. De schijnbaar onschuldige initiële aanvraag wordt doorverwezen naar een interne bron, die vervolgens wordt benaderd door urlgetcontents() zonder juiste validatie. Dit stelt de aanvaller in staat om interne bestanden te lezen, te interageren met interne services of zelfs commando's op de server uit te voeren, afhankelijk van de machtigingen van de gebruiker die de kwetsbare code uitvoert. De complexiteit van de exploitatie hangt af van het vermogen van de aanvaller om de kwaadaardige webserver te controleren en de configuratie van het AVideo-netwerk.
Organizations utilizing wwbn/avideo versions 26.0 and earlier, particularly those with exposed web applications or internal services accessible via HTTP, are at risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the SSRF vulnerability to access resources belonging to other users.
• php: Examine access logs for requests containing unusual redirects or targeting internal IP addresses. Use grep to search for patterns like Location: http://internal-ip/.
• generic web: Use curl to test for redirect vulnerabilities: curl -v <target_url> | grep Location
• generic web: Monitor response headers for unexpected redirects. Look for Location headers pointing to internal resources.
• php: Review the objects/functions.php file for the vulnerable isSSRFSafeURL() and urlgetcontents() functions. Check for modifications that might bypass the validation logic.
disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
Momenteel is er geen officiële oplossing van de AVideo-ontwikkelaar. De meest effectieve onmiddellijke mitigatie is om tijdelijk de functionaliteit die urlgetcontents() gebruikt, of elke functie die afhankelijk is van het ophalen van externe inhoud, uit te schakelen. Als een langetermijnoplossing wordt ten zeerste aanbevolen om AVideo te updaten naar een gepatchte versie zodra deze beschikbaar is. Bovendien kan extra validatie in de code worden geïmplementeerd om de doel-URL opnieuw te valideren na elke HTTP-doorverwijzing, zodat de uiteindelijke aanvraag naar een veilige bron verwijst. Het is cruciaal om de beveiligingsupdates van AVideo te volgen en beveiligingspatches tijdig toe te passen.
Werk AVideo bij naar een versie later dan 26.0. De kwetsbaarheid wordt verholpen in commit 8b7e9dad359d5fac69e0cbbb370250e0b284bc12. Dit voorkomt het omzeilen van de SSRF-bescherming via HTTP-redirects.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SSRF (Server-Side Request Forgery) is een aanval waarbij een aanvaller de server misleidt om verzoeken te doen naar bronnen waar de aanvaller zelf niet rechtstreeks toegang toe zou moeten hebben.
Als u AVideo gebruikt, kan deze kwetsbaarheid een aanvaller in staat stellen om toegang te krijgen tot interne bronnen op uw netwerk, wat de beveiliging van uw website en uw gegevens kan compromitteren.
Het uitschakelen van de functionaliteit die urlgetcontents() gebruikt, is een tijdelijke oplossing.
Het wordt aanbevolen om de beveiligingsupdates van AVideo te volgen voor informatie over een officiële oplossing.
Als u vermoedt dat uw website is gecompromitteerd, moet u onmiddellijk een beveiligingsprofessional contacteren om u te helpen bij het onderzoeken en oplossen van het probleem.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.