Platform
php
Component
wwbn/avideo
Opgelost in
26.0.1
26.0.1
CVE-2026-33867 is a critical vulnerability affecting wwbn/avideo versions up to 26.0. It allows attackers who gain read access to the database to retrieve video passwords stored in plaintext. This lack of encryption poses a significant risk to content owners and their users. A fix is available, requiring users to upgrade to a patched version of the software.
CVE-2026-33867 in AVideo vormt een aanzienlijk risico voor wachtwoordbeschermde video's. Het systeem slaat videowachtwoorden direct op in de database, zonder enige vorm van encryptie, hashing of salting toe te passen. Dit betekent dat een aanvaller, die toegang krijgt tot de database – via SQL-injectie, een gecompromitteerde back-up of verkeerd geconfigureerde toegangscontroles – alle videowachtwoorden in platte tekst kan ophalen. De impact is ernstig, waardoor ongeautoriseerde toegang tot beschermde inhoud mogelijk wordt, waardoor de privacy en veiligheid van gebruikers en makers van inhoud in gevaar komt. Het ontbreken van een beschikbare patch verergert de situatie en vereist onmiddellijke mitigerende maatregelen.
De exploitatie van deze kwetsbaarheid vereist toegang tot de AVideo-database. Een aanvaller kan proberen SQL-injectie te gebruiken om query's te manipuleren en wachtwoorden rechtstreeks te extraheren. Het compromitteren van een onbeschermde databaseback-up kan ook een vector zijn. Verkeerde database-rechtenconfiguraties die ongeautoriseerde toegang toestaan, kunnen ook worden uitgebuit. Zodra de aanvaller toegang heeft tot de database, kan hij de videowachtwoorden in platte tekst lezen, waardoor hij toegang kan krijgen tot beschermde inhoud zonder het daadwerkelijke wachtwoord.
Content owners and platforms utilizing wwbn/avideo to manage and protect video content are at significant risk. Specifically, those relying on the default password protection mechanism without implementing additional security measures are most vulnerable. Shared hosting environments where multiple users share a database are also at increased risk.
• php: Examine the objects/video.php file for the vulnerable setVideo_password function. Search database tables for plaintext video password storage.
grep -r 'video_password' /path/to/avideo/objects/• database (mysql): Query the database to check for plaintext video passwords.
SELECT video_password FROM videos WHERE video_password IS NOT NULL AND video_password != '';• generic web: Monitor database access logs for unusual activity or unauthorized access attempts.
disclosure
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
Gezien het ontbreken van een officiële patch voor CVE-2026-33867, richt de onmiddellijke mitigatie zich op het beveiligen van de AVideo-database. Het wordt ten zeerste aanbevolen om de toegang tot de database te beperken door middel van strikte toegangscontroles en de beveiligingsconfiguraties te controleren om kwetsbaarheden zoals SQL-injectie te voorkomen. Regelmatig auditeren van databaseback-ups en ervoor zorgen dat deze beschermd zijn tegen ongeautoriseerde toegang is cruciaal. Het overwegen van een migratie naar een video-managementoplossing die veilige wachtwoordopslag implementeert (encryptie, salted hashing) is een oplossing op de lange termijn. Het monitoren van de databaseactiviteit op verdachte toegang wordt ook aanbevolen.
Actualice AVideo a una versión posterior a la 26.0. Esto solucionará el problema del almacenamiento de contraseñas de video en texto plano. La actualización incluye un parche que implementa un método de almacenamiento más seguro para las contraseñas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Beperk de toegang tot uw database, controleer de beveiligingsconfiguraties en overweeg om te migreren naar een veiligere oplossing.
Momenteel is er geen officiële patch voor deze kwetsbaarheid.
Implementeer strikte toegangscontroles, controleer back-ups en monitor de databaseactiviteit.
Het is een aanvalstechniek waarmee aanvallers databasequery's kunnen manipuleren om toegang te krijgen tot vertrouwelijke informatie.
Het betekent dat de wachtwoorden niet zijn versleuteld of op enige manier beschermd, waardoor ze gemakkelijk toegankelijk zijn als de database wordt gecompromitteerd.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.