AVideo possui uma Falha de Traversal de Caminho em import.json.php Permite Roubo de Vídeos Privados e Leitura/Exclusão Arbitrária de Arquivos via Parâmetro fileURI
Plataforma
php
Componente
wwbn/avideo
Corrigido em
26.0.1
26.0.1
A vulnerabilidade CVE-2026-33493 é um Path Traversal encontrado no componente wwbn/avideo, afetando versões até 26.0. Um atacante autenticado com permissão de upload pode explorar essa falha para ler arquivos arbitrários no sistema, comprometendo a confidencialidade de dados sensíveis. A vulnerabilidade foi divulgada em 20 de março de 2026 e a correção está disponível.
Impacto e Cenários de Ataque
Esta vulnerabilidade permite que um atacante autenticado com permissões de upload acesse arquivos arbitrários no sistema de arquivos. Explorando o endpoint objects/import.json.php, o atacante pode contornar a validação inadequada do parâmetro fileURI e ler arquivos como .txt, .html ou .htm localizados próximos a arquivos .mp4. Isso pode resultar no roubo de informações confidenciais, como credenciais de outros usuários, dados pessoais ou informações de configuração do sistema. A falta de restrição de diretório permite o acesso a arquivos fora do diretório videos/, ampliando significativamente o potencial de dano. A exploração bem-sucedida pode levar à exfiltração de dados e, potencialmente, à escalada de privilégios, dependendo dos arquivos acessíveis.
Contexto de Exploração
A vulnerabilidade CVE-2026-33493 foi divulgada em 20 de março de 2026. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a facilidade de exploração sugere que pode se tornar um alvo para atacantes. É importante monitorar a atividade da rede e os logs do servidor para detectar tentativas de exploração.
Quem Está em Riscotraduzindo…
Organizations using wwbn/avideo for video management, particularly those with shared hosting environments or legacy configurations, are at risk. Users with upload permissions within the application are especially vulnerable, as they are the ones who can exploit this vulnerability to access sensitive files.
Passos de Detecçãotraduzindo…
• php / server:
grep -r 'fileURI' /var/www/avideo/• php / server:
find /var/www/avideo/ -name 'import.json.php'• generic web:
curl -I http://your-avideo-server/objects/import.json.php?fileURI=../../../../etc/passwdLinha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.08% (percentil 23%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Informações do pacote
- Última atualização
- 29.0recentemente
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação imediata para CVE-2026-33493 envolve a aplicação de controles de acesso rigorosos para restringir o acesso ao endpoint objects/import.json.php apenas a usuários autorizados. Implementar uma WAF (Web Application Firewall) com regras para bloquear requisições que contenham padrões de Path Traversal no parâmetro fileURI pode fornecer uma camada adicional de proteção. Além disso, é crucial revisar e fortalecer a validação de entrada no endpoint import.json.php, garantindo que o parâmetro fileURI seja adequadamente sanitizado e que o acesso a arquivos seja restrito ao diretório videos/. A atualização para a versão corrigida do wwbn/avideo é a solução definitiva, pois corrige a vulnerabilidade na sua origem. Após a atualização, confirme a correção verificando se o endpoint objects/import.json.php agora restringe corretamente o acesso a arquivos fora do diretório videos/.
Como corrigirtraduzindo…
Actualice AVideo a una versión posterior a la 26.0. La vulnerabilidad se soluciona en el commit e110ff542acdd7e3b81bdd02b8402b9f6a61ad78. Esto evitará el recorrido de directorios y la posible lectura/eliminación de archivos arbitrarios.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentestraduzindo…
What is CVE-2026-33493 — Path Traversal in wwbn/avideo?
CVE-2026-33493 is a Path Traversal vulnerability in wwbn/avideo versions 26.0 and earlier, allowing authenticated users to read arbitrary files.
Am I affected by CVE-2026-33493 in wwbn/avideo?
You are affected if you are using wwbn/avideo version 26.0 or earlier and have not yet applied a patch.
How do I fix CVE-2026-33493 in wwbn/avideo?
Upgrade to a patched version of wwbn/avideo as soon as it becomes available. Until then, implement WAF rules or restrict access to the vulnerable endpoint.
Is CVE-2026-33493 being actively exploited?
No active exploitation has been confirmed at this time, but the vulnerability's ease of exploitation suggests it could become a target.
Where can I find the official wwbn/avideo advisory for CVE-2026-33493?
Please refer to the wwbn/avideo security advisories page for updates and official information regarding CVE-2026-33493.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.