Plataforma
php
Componente
wwbn/avideo
Corrigido em
26.0.1
26.0.1
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta no plugin AVideo, especificamente no arquivo plugin/Live/test.php. Essa falha permite que usuários não autenticados façam requisições HTTP para URLs arbitrárias, potencialmente expondo serviços internos ou acessando dados sensíveis. A vulnerabilidade afeta versões do plugin AVideo anteriores ou iguais a 26.0. A correção está disponível e a aplicação é recomendada.
A exploração bem-sucedida desta vulnerabilidade SSRF pode permitir que um atacante explore a rede interna por trás do servidor AVideo. Isso inclui a capacidade de escanear serviços rodando na localhost, acessar endpoints de metadados de serviços em nuvem (como AWS, Azure ou GCP) e potencialmente obter informações confidenciais, como credenciais de acesso ou chaves de API. Um atacante poderia, por exemplo, acessar informações de configuração do servidor ou dados de usuários armazenados em serviços internos. A falta de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o seu potencial de impacto, permitindo que qualquer usuário remoto a explore.
A vulnerabilidade foi divulgada em 2026-03-20. Não há informações disponíveis sobre a inclusão em KEV ou sobre a existência de exploits públicos. A pontuação CVSS de 9.3 indica um alto risco de exploração. A ausência de um exploit público não significa que a vulnerabilidade não possa ser explorada, especialmente considerando a facilidade de exploração inerente às vulnerabilidades SSRF.
Organizations deploying wwbn/avideo versions 26.0 or earlier are at risk. This includes environments where the AVideo component is exposed to the internet or internal networks without adequate security controls. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• php: Examine access logs for outbound HTTP requests originating from the AVideo server to unusual or internal IP addresses. Look for requests containing suspicious URLs in the statsURL parameter.
grep 'statsURL=.*://' /var/log/apache2/access.log• php: Review the plugin/Live/test.php file for the vulnerable code snippet. Check for any modifications that might attempt to bypass the rudimentary input validation.
cat plugin/Live/test.php | grep statsURL• generic web: Monitor network traffic for outbound HTTP requests from the AVideo server to unexpected destinations. Use tools like tcpdump or Wireshark to capture and analyze network packets.
disclosure
Status do Exploit
EPSS
0.05% (percentil 17%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin AVideo para a versão corrigida (superior a 26.0). Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar um Web Application Firewall (WAF) para filtrar requisições com URLs suspeitas. Além disso, restrinja o acesso à rede interna a partir do servidor AVideo, utilizando firewalls e regras de roteamento para bloquear o tráfego não autorizado. Monitore os logs do servidor em busca de requisições incomuns para URLs internas. Implementar uma validação mais rigorosa da entrada statsURL no código PHP, verificando não apenas o prefixo http, mas também a validade da URL e a permissão para acessar o recurso.
Atualize AVideo para uma versão posterior à 26.0. A vulnerabilidade é corrigida no commit 1e6cf03e93b5a5318204b010ea28440b0d9a5ab3. Isso evitará que usuários não autenticados realizem solicitações SSRF através do plugin Live.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33502 is a CRITICAL SSRF vulnerability in wwbn/avideo versions up to 26.0, allowing attackers to make the server send HTTP requests to arbitrary URLs, potentially exposing internal resources.
You are affected if you are using wwbn/avideo version 26.0 or earlier. Check your version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of wwbn/avideo. Until then, implement WAF rules or input validation to restrict outbound requests.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a high likelihood of exploitation.
Refer to the official wwbn/avideo security advisories for the latest information and patch releases.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.