Plataforma
php
Componente
wwbn/avideo
Corrigido em
26.0.1
25.0.1
Uma vulnerabilidade de Path Traversal foi descoberta no componente wwbn/avideo, afetando versões até 25.0. Essa falha permite que um atacante não autenticado explore o endpoint de streaming HLS (view/hls.php) para acessar vídeos privados ou pagos. A causa reside em uma divergência no tratamento do parâmetro videoDirectory, onde a autorização é truncada, enquanto o acesso ao arquivo preserva sequências de .., criando uma condição de split-oracle. A correção está disponível na versão 26.0.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado obtenha acesso não autorizado a qualquer vídeo hospedado na plataforma wwbn/avideo, independentemente de sua natureza privada ou paga. O atacante pode simplesmente manipular o parâmetro videoDirectory na requisição HLS para contornar as verificações de autorização e acessar o conteúdo desejado. O impacto é significativo, pois compromete a confidencialidade e a integridade do conteúdo de vídeo, potencialmente expondo informações sensíveis ou proprietárias. A ausência de autenticação necessária para a exploração amplia o escopo do ataque, tornando-o acessível a uma ampla gama de atacantes. A natureza do streaming HLS também facilita a distribuição do conteúdo comprometido, aumentando o potencial de dano.
A vulnerabilidade foi divulgada em 2026-03-19. Não há informações disponíveis sobre a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de um EPSS (Exploit Prediction Score System) score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade (Path Traversal) a torna suscetível à exploração por atacantes com conhecimento técnico. É recomendável monitorar a situação e implementar as medidas de mitigação apropriadas.
Organizations utilizing wwbn/avideo for video streaming, particularly those with private or paid content, are at risk. Shared hosting environments where multiple users share the same instance of wwbn/avideo are especially vulnerable, as an attacker could potentially exploit this vulnerability to access content belonging to other users.
• php: Examine access logs for requests containing .. sequences in the videoDirectory parameter of the view/hls.php endpoint.
• php: Search for code patterns related to divergent path handling of the videoDirectory parameter, specifically where one path truncates at / and another preserves .. sequences.
• generic web: Use curl to test for path traversal by appending ../ sequences to the videoDirectory parameter and observing the response.
curl 'http://your-avideo-instance/view/hls.php?videoDirectory=../../../../etc/passwd'disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para a versão 26.0 do wwbn/avideo, que corrige o tratamento do parâmetro videoDirectory. Em ambientes onde a atualização imediata não é possível, considere implementar medidas de proteção adicionais. Uma possível solução temporária é a configuração de um Web Application Firewall (WAF) para bloquear requisições com sequências de .. no parâmetro videoDirectory. Além disso, revise e reforce as políticas de controle de acesso para garantir que apenas usuários autorizados possam acessar o conteúdo de vídeo. Após a atualização, confirme a correção verificando se o acesso não autorizado aos vídeos privados ou pagos é impedido ao tentar manipular o parâmetro videoDirectory em uma requisição HLS.
Actualice AVideo a la versión 26.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal en el endpoint HLS.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33292 is a Path Traversal vulnerability in wwbn/avideo that allows unauthenticated access to private videos due to a split-oracle condition in the videoDirectory parameter.
You are affected if you are using wwbn/avideo version 25.0 or earlier. Upgrade to version 26.0 to mitigate the vulnerability.
The recommended fix is to upgrade to version 26.0 of wwbn/avideo. As a temporary workaround, implement a WAF rule to filter requests containing .. sequences.
As of the current disclosure date, there are no confirmed reports of active exploitation, but the vulnerability's simplicity suggests a potential for rapid exploitation.
Refer to the official wwbn/avideo security advisory for detailed information and updates regarding CVE-2026-33292.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.