Plataforma
php
Componente
wwbn/avideo
Corrigido em
26.0.1
25.0.1
Uma vulnerabilidade de Path Traversal foi descoberta no componente wwbn/avideo, afetando versões até 25.0. Essa falha permite que um atacante, possuindo credenciais de clone válidas, utilize sequências de path traversal para deletar arquivos arbitrários no servidor, comprometendo a integridade do sistema. A correção está disponível na versão 26.0.
A exploração bem-sucedida desta vulnerabilidade pode levar à negação de serviço (DoS) ao deletar arquivos críticos do sistema, como o arquivo de configuração configuration.php. A remoção desse arquivo pode impedir o funcionamento adequado da aplicação. Além disso, a capacidade de deletar arquivos arbitrários abre a porta para ataques mais sofisticados, permitindo que um invasor remova mecanismos de segurança e obtenha acesso não autorizado ao sistema. A ausência de sanitização do parâmetro deleteDump no arquivo plugin/CloneSite/cloneServer.json.php é a raiz do problema, permitindo a manipulação do caminho do arquivo a ser deletado.
A vulnerabilidade foi divulgada em 2026-03-19. Não há informações disponíveis sobre a inclusão em KEV ou sobre a existência de PoCs públicas ou campanhas de exploração ativas no momento da divulgação. A avaliação da probabilidade de exploração é considerada média devido à facilidade de exploração com credenciais válidas e ao potencial impacto da negação de serviço.
Organizations utilizing wwbn/avideo versions 25.0 and earlier, particularly those with publicly accessible clone functionality, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to impact other users' data and configurations.
• wordpress / composer / npm:
grep -r 'unlink($_GET["deleteDump"]);' /var/www/avideo/• generic web:
curl -I 'http://your-avideo-site.com/plugin/CloneSite/cloneServer.json.php?deleteDump=../../../../etc/passwd' | grep '403 Forbidden'disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A mitigação imediata envolve a atualização para a versão 26.0 do wwbn/avideo, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao arquivo plugin/CloneSite/cloneServer.json.php apenas a usuários autorizados e monitorar o sistema em busca de atividades suspeitas. Implementar regras de firewall para bloquear solicitações com sequências de path traversal (e.g., ../../) também pode ajudar a mitigar o risco. A verificação após a atualização deve ser feita confirmando que o parâmetro deleteDump está sendo devidamente sanitizado.
Actualice AVideo a la versión 26.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el plugin CloneSite, impidiendo la eliminación arbitraria de archivos en el servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33293 is a Path Traversal vulnerability affecting wwbn/avideo versions up to 25.0, allowing attackers to delete arbitrary files on the server.
You are affected if you are using wwbn/avideo version 25.0 or earlier. Upgrade to version 26.0 to resolve the vulnerability.
Upgrade to version 26.0 of wwbn/avideo. As a temporary workaround, restrict access to the vulnerable file and implement WAF rules.
As of now, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the official wwbn/avideo security advisory for detailed information and updates regarding CVE-2026-33293.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.