Platform
php
Component
wwbn/avideo
Opgelost in
26.0.1
26.0.1
CVE-2026-35450 beschrijft een informatielek in de plugin/API/check.ffmpeg.json.php endpoint van wwbn/avideo. Deze endpoint onthult de configuratie van de FFmpeg remote server, zonder dat er authenticatie vereist is. Dit stelt aanvallers in staat om gevoelige systeemgegevens te achterhalen. De kwetsbaarheid treft versies van wwbn/avideo tot en met 26.0, en is verholpen in versie 26.1.
De kwetsbaarheid in wwbn/avideo stelt een aanvaller in staat om de configuratie van de FFmpeg remote server te achterhalen zonder authenticatie. Dit kan leiden tot het blootleggen van interne paden, gebruikte codecs, en andere configuratie-instellingen die gebruikt worden door de FFmpeg server. Hoewel directe code-uitvoering niet mogelijk is via deze endpoint, kan de verkregen informatie gebruikt worden om andere kwetsbaarheden te identificeren en te exploiteren, of om de interne werking van het systeem beter te begrijpen. De impact is vergelijkbaar met het blootleggen van configuratiebestanden via een ongeautoriseerde web interface.
De kwetsbaarheid is publiekelijk bekend gemaakt op 2026-04-04. Er zijn momenteel geen openbare proof-of-concept exploits beschikbaar, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst wel zullen verschijnen. Er is geen vermelding op de CISA KEV catalogus op dit moment. De lage complexiteit van de kwetsbaarheid maakt het een aantrekkelijk doelwit voor automatische scanners.
Organizations utilizing wwbn/avideo in environments where FFmpeg is used for media processing are at risk. This is particularly relevant for deployments with limited network segmentation or where the web server is exposed to the public internet. Shared hosting environments using wwbn/avideo are also at increased risk due to the potential for cross-tenant access.
• php: Examine web server access logs for requests to plugin/API/check.ffmpeg.json.php originating from unexpected IP addresses.
grep "/plugin/API/check.ffmpeg.json.php" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr• generic web: Use curl to test the endpoint's accessibility without authentication.
curl http://<your_avideo_server>/plugin/API/check.ffmpeg.json.php• php: Review the plugin/API/ directory for other endpoints lacking authentication checks, particularly those related to system configuration or management.
disclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-35450 is het upgraden van wwbn/avideo naar versie 26.1 of hoger. Als een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het blokkeren van toegang tot de plugin/API/check.ffmpeg.json.php endpoint via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om alle requests naar dit endpoint te blokkeren, ongeacht de afkomst. Controleer ook de configuratie van de FFmpeg server zelf om te verzekeren dat deze niet onnodig toegankelijk is vanaf het internet. Na de upgrade, verifieer de correcte werking van de FFmpeg functionaliteit door een testtranscodeeractie uit te voeren.
Werk de AVideo plugin bij naar versie 26.1 of hoger om de kwetsbaarheid te mitigeren. Deze update corrigeert het ontbreken van authenticatie in de endpoint check.ffmpeg.json.php, waardoor ongeautoriseerde openbaarmaking van server (FFmpeg) configuratie-informatie wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35450 beschrijft een informatielek in de check.ffmpeg.json.php endpoint van wwbn/avideo, waardoor de FFmpeg remote server configuratie zonder authenticatie kan worden achterhaald.
U bent getroffen als u een versie van wwbn/avideo gebruikt die kleiner of gelijk is aan 26.0.
Upgrade wwbn/avideo naar versie 26.1 of hoger. Als dit niet mogelijk is, blokkeer dan toegang tot de plugin/API/check.ffmpeg.json.php endpoint.
Er zijn momenteel geen bevestigde gevallen van actieve exploitatie bekend, maar de eenvoud van de kwetsbaarheid maakt misbruik waarschijnlijk.
Raadpleeg de wwbn/avideo website of documentatie voor het officiële security advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.