Plataforma
php
Componente
wwbn/avideo
Corrigido em
22.0.1
21.0.1
A vulnerabilidade CVE-2026-27732 é uma Server-Side Request Forgery (SSRF) presente no componente wwbn/avideo do AVideo. Essa falha permite que um atacante autenticado direcione o servidor para fazer requisições a URLs arbitrárias, potencialmente expondo dados sensíveis ou interagindo com serviços internos. A vulnerabilidade afeta versões do AVideo anteriores à 22.0 e foi publicada em 25 de fevereiro de 2026. A correção está disponível na versão 22.0.
Um atacante autenticado pode explorar a vulnerabilidade SSRF para realizar diversas ações maliciosas. Ao manipular o parâmetro downloadURL na API aVideoEncoder.json.php, o atacante pode forçar o servidor a fazer requisições a qualquer URL, incluindo endpoints internos que normalmente não seriam acessíveis externamente. Isso pode levar à exposição de informações confidenciais armazenadas em serviços internos, como bancos de dados, servidores de arquivos ou APIs internas. Além disso, o atacante pode usar a SSRF para realizar ataques de escaneamento de rede interna, identificar serviços em execução e até mesmo explorar outras vulnerabilidades em sistemas internos. A capacidade de acessar recursos internos representa um risco significativo para a segurança da infraestrutura.
A vulnerabilidade CVE-2026-27732 foi publicada em 25 de fevereiro de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um endpoint API com um parâmetro downloadURL sem validação adequada é um padrão comum em vulnerabilidades SSRF, e a falta de validação torna a exploração relativamente simples para um atacante autenticado.
Organizations utilizing AVideo versions prior to 22.0, particularly those with internal services accessible via the network, are at risk. Shared hosting environments where multiple users share the same AVideo instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit the SSRF vulnerability.
• php: Examine access logs for requests to aVideoEncoder.json.php with unusual or unexpected downloadURL parameters. Look for URLs pointing to internal IP addresses or non-standard ports.
grep 'aVideoEncoder.json.php' access.log | grep 'downloadURL='• generic web: Use curl to test the endpoint with a known internal URL and verify that the request is blocked.
curl -v 'http://<avideo_server>/aVideoEncoder.json.php?downloadURL=http://169.254.169.254/mgmt/inventory' • generic web: Check response headers for unexpected content types or error messages indicating an internal server error when attempting an SSRF request.
disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-27732 é a atualização para a versão 22.0 do AVideo, que inclui a correção para a falha SSRF. Se a atualização imediata não for possível, implemente validação robusta da URL no endpoint aVideoEncoder.json.php. Isso pode ser feito através de uma lista de permissão (allow-list) de URLs permitidas ou através de uma validação rigorosa do formato e conteúdo da URL. Considere também a implementação de um Web Application Firewall (WAF) para bloquear requisições maliciosas que tentem explorar a vulnerabilidade. Monitore os logs de acesso e erro do servidor em busca de padrões suspeitos de requisições SSRF.
Atualize o AVideo para a versão 22.0 ou superior. Esta versão contém a correção para a vulnerabilidade SSRF. A atualização pode ser realizada através do painel de administração ou baixando a última versão do software do site oficial e seguindo as instruções de atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27732 is a HIGH severity SSRF vulnerability affecting AVideo versions prior to 22.0. It allows authenticated users to trigger server-side requests to arbitrary URLs, potentially exposing internal data.
You are affected if you are using AVideo versions 21.0.0 or earlier. Upgrade to version 22.0 to resolve the vulnerability.
Upgrade to AVideo version 22.0. As a temporary workaround, implement a WAF rule to block suspicious URLs or enforce stricter input validation on the downloadURL parameter.
There is currently no evidence of active exploitation, but the SSRF nature of the vulnerability makes it a potential target.
Refer to the official AVideo security advisory for detailed information and updates: [https://www.avideo.com/security/advisories](https://www.avideo.com/security/advisories)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.