Plataforma
php
Componente
wwbn/avideo
Corrigido em
26.0.1
26.0.1
CVE-2026-33478 represents a critical Remote Code Execution (RCE) vulnerability discovered in the AVideo CloneSite plugin. This vulnerability allows an unauthenticated attacker to gain complete control over a system by chaining together multiple exploits, including secret key exposure, database dumps containing MD5-hashed admin passwords, and ultimately, OS command injection. The vulnerability impacts versions of the plugin up to and including 26.0, and a fix is pending release.
A vulnerabilidade CVE-2026-33478 no plugin CloneSite da AVideo representa um risco crítico devido a uma cadeia de falhas que permite a um atacante não autenticado executar código remotamente. O problema reside na exposição de chaves secretas de clon através do endpoint clones.json.php sem necessidade de autenticação. Essas chaves podem ser usadas para acionar um despejo completo do banco de dados através de cloneServer.json.php. O banco de dados resultante contém hashes de senhas de administrador armazenados em formato MD5, que são facilmente quebráveis. Uma vez obtido acesso administrativo, o atacante pode explorar uma injeção de comandos do sistema no comando rsync, comprometendo completamente o servidor. A ausência de uma solução (fix) disponível agrava a situação, deixando os usuários vulneráveis.
Um atacante poderia explorar esta vulnerabilidade sem a necessidade de credenciais. O processo começa com a recuperação das chaves secretas de clon através do endpoint clones.json.php. Com essas chaves, o atacante pode solicitar uma cópia completa do banco de dados através de cloneServer.json.php. O banco de dados, que contém hashes MD5 de senhas de administrador, é então quebrado. Finalmente, o atacante utiliza o acesso administrativo para executar comandos arbitrários no servidor através da injeção de comandos no comando rsync. A facilidade de exploração e a falta de autenticação tornam esta vulnerabilidade um alvo atraente para atacantes com diferentes níveis de habilidade.
Organizations utilizing AVideo CloneSite plugin versions 26.0 and earlier are at significant risk. This includes businesses using AVideo for video cloning and management, particularly those with publicly accessible instances of the plugin. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's instance could potentially lead to the compromise of others.
• php: Examine web server access logs for requests to /clones.json.php and /cloneServer.json.php without authentication.
• php: Search plugin files for the rsync command and any user-controlled input used in its construction. Look for instances where user input is directly incorporated into the command without proper sanitization.
• linux / server: Monitor system logs (e.g., /var/log/syslog, /var/log/auth.log) for unusual processes or commands being executed, particularly those related to rsync.
• generic web: Use curl to test the /clones.json.php endpoint without authentication. A successful response indicates the vulnerability is present.
curl http://your-avideo-server/clones.json.phpdisclosure
Status do Exploit
EPSS
1.95% (percentil 83%)
CISA SSVC
Vetor CVSS
Dado que não existe uma solução oficial (fix) para CVE-2026-33478, a mitigação imediata mais eficaz é desabilitar ou remover o plugin CloneSite da AVideo. Se o plugin for essencial, recomenda-se implementar medidas de segurança adicionais, como restringir o acesso ao banco de dados, fortalecer as políticas de senhas (evitando o uso de MD5) e monitorar ativamente o servidor em busca de atividade suspeita. Além disso, recomenda-se revisar o código-fonte do plugin para identificar e corrigir manualmente as vulnerabilidades, embora isso exija um conhecimento técnico considerável. Manter o software do servidor atualizado e aplicar patches de segurança gerais também pode ajudar a reduzir o risco. Recomenda-se veementemente procurar uma alternativa ao plugin CloneSite até que seja publicada uma solução oficial.
Actualice AVideo a una versión posterior a la 26.0. La actualización corrige las vulnerabilidades que permiten la ejecución remota de código no autenticado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Significa que o desenvolvedor da AVideo não lançou uma atualização para corrigir esta vulnerabilidade. Isso aumenta o risco e requer medidas de mitigação alternativas.
MD5 é um algoritmo de hash criptográfico antigo que foi amplamente demonstrado como vulnerável a ataques de colisão. Existem ferramentas e tabelas precalculadas que permitem quebrar hashes MD5 de senhas em um tempo relativamente curto.
É uma técnica que permite a um atacante executar comandos arbitrários no sistema operacional subjacente através de uma aplicação vulnerável.
Se você está usando o plugin CloneSite da AVideo, é provável que seja vulnerável. Você pode tentar acessar clones.json.php em seu site para verificar se as chaves secretas são expostas sem autenticação.
Se o plugin for essencial, implemente medidas de segurança adicionais, como restringir o acesso ao banco de dados, fortalecer as senhas e monitorar o servidor em busca de atividade suspeita.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.