Platform
php
Component
avideo
Opgelost in
26.0.1
CVE-2026-39370 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in AVideo, een open-source video platform. Deze kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om data te exfiltreren door middel van een downloadURL. De kwetsbaarheid treedt op in versies 26.0 en eerder, en is verholpen in versie 26.1. Het is een gevolg van een onvolledige correctie voor CVE-2026-27732.
Een succesvolle exploitatie van deze SSRF kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om interne bronnen te benaderen die normaal gesproken niet toegankelijk zijn vanaf het internet. Door de downloadURL te manipuleren met media- of archiefextensies (zoals .mp4, .mp3, .zip), kan de server verzocht worden om data op te halen en deze op te slaan als media content. Dit kan gebruikt worden om gevoelige informatie te exfiltreren, zoals configuratiebestanden, interne API-sleutels of andere vertrouwelijke data. De impact is vergelijkbaar met andere SSRF kwetsbaarheden, waarbij de aanvaller in feite de server kan misbruiken om verzoeken uit te voeren namens de server zelf.
Deze kwetsbaarheid werd publiek bekendgemaakt op 2026-04-07. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis. Er zijn geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (status onbekend).
Organizations using AVideo for video hosting and content management are at risk, particularly those with internal services or sensitive data accessible from the AVideo server. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk, as a compromised user account could be used to exploit the vulnerability.
• php: Examine AVideo server access logs for requests to unusual or internal URLs originating from authenticated uploaders.
grep 'downloadURL=[^&]+' /var/log/apache2/access.log | grep 'AVideo'• php: Check AVideo configuration files for any unusual or overly permissive network settings. • generic web: Monitor AVideo server response headers for unexpected content types or unusual data being served. • generic web: Use a web application firewall (WAF) to block requests containing suspicious URLs or patterns in the downloadURL parameter.
disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar AVideo versie 26.1 of hoger, waarin de kwetsbaarheid is verholpen. Indien een upgrade direct niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) of proxy om de downloadURL parameters te filteren en te valideren. Specifieke regels kunnen worden ingesteld om downloads van onbekende of verdachte bronnen te blokkeren. Controleer ook de configuratie van de AVideo server om te zorgen dat er geen onnodige interne services blootgesteld worden. Na de upgrade, bevestig de correctie door een poging te doen om de kwetsbare downloadURL te gebruiken en controleer of de server de request blokkeert.
Werk AVideo bij naar versie 26.1 of hoger om de SSRF kwetsbaarheid te mitigeren. De update corrigeert een fout in de URL-download validatie die aanvallers in staat stelde om interne responses te exfiltreren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-39370 is een SSRF-kwetsbaarheid in AVideo, waardoor een geauthenticeerde gebruiker data kan exfiltreren via een gemanipuleerde downloadURL.
Ja, als u AVideo gebruikt in versie 0.0.0 t/m 26.0, bent u getroffen door deze kwetsbaarheid.
Upgrade naar AVideo versie 26.1 of hoger. Indien dit niet mogelijk is, implementeer dan een WAF om de downloadURL parameters te filteren.
Op dit moment is er geen informatie beschikbaar over actieve exploits in de wildernis.
Raadpleeg de AVideo website of GitHub repository voor het officiële advisory.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.