Plataforma
php
Componente
wwbn/avideo
Corrigido em
26.0.1
26.0.1
Uma vulnerabilidade de Path Traversal foi descoberta no componente wwbn/avideo, afetando versões até 26.0. A falha reside em um endpoint de API não autenticado que concatena a entrada do usuário em um caminho include sem validação adequada. Isso permite que um atacante inclua arquivos PHP arbitrários sob a raiz web, potencialmente levando à divulgação de informações e, em cenários mais complexos, à execução remota de código. A vulnerabilidade foi publicada em 2026-03-20.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos PHP arbitrários no servidor web. Inicialmente, isso pode resultar na divulgação de informações sensíveis contidas em arquivos PHP existentes, como o arquivo view/about.php usado em testes. No entanto, se um atacante conseguir colocar ou controlar um arquivo PHP em outro local no sistema de arquivos, a vulnerabilidade pode ser explorada para obter execução remota de código (RCE). A falta de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o seu impacto, tornando-a acessível a qualquer atacante com acesso à rede onde o componente está implantado. A inclusão de arquivos PHP pode permitir a leitura de configurações, chaves de API e outros dados confidenciais.
A vulnerabilidade foi divulgada publicamente em 2026-03-20. Não há informações disponíveis sobre sua inclusão no KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de um EPSS (Exploit Prediction Scoring System) score. Atualmente, não há provas públicas de que a vulnerabilidade esteja sendo ativamente explorada, mas a facilidade de exploração e a falta de autenticação necessária tornam a exploração provável.
Organizations using wwbn/avideo in production environments, particularly those with publicly accessible endpoints, are at risk. Shared hosting environments where multiple users share the same server and file system are especially vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other users' data.
• wordpress / composer / npm:
grep -r 'include($_GET['locale']);' /var/www/avideo/• generic web:
curl -I 'http://your-avideo-site.com/plugin/API/get.json.php?locale=../../../../etc/passwd' | grep 'HTTP/1.1' # Check for 403 or 200disclosure
Status do Exploit
EPSS
0.17% (percentil 39%)
CISA SSVC
Vetor CVSS
A correção oficial para esta vulnerabilidade ainda não foi disponibilizada. Como mitigação imediata, é recomendado desabilitar ou restringir o acesso ao endpoint plugin/API/get.json.php. Implementar regras de firewall ou proxy para bloquear solicitações que contenham caracteres suspeitos no parâmetro APIName pode ajudar a reduzir a superfície de ataque. Além disso, a validação e sanitização rigorosas de todas as entradas do usuário são essenciais para prevenir ataques de Path Traversal. Após a aplicação de workarounds, verifique a integridade do sistema de arquivos e monitore os logs de acesso em busca de atividades suspeitas.
Actualizar AVideo a una versión parcheada que solucione la vulnerabilidad de inclusión de archivos locales. Actualmente no hay versiones parcheadas disponibles, por lo que se recomienda monitorear las actualizaciones de seguridad del proveedor y aplicar las mitigaciones recomendadas, como restringir el acceso a la API vulnerable o implementar validación de entrada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33513 is a path traversal vulnerability in wwbn/avideo that allows attackers to include arbitrary PHP files, potentially leading to code execution.
You are affected if you are using wwbn/avideo versions 26.0 and prior. Assess your environment immediately.
Upgrade to a patched version of wwbn/avideo as soon as it becomes available. Until then, implement WAF rules and restrict access to the vulnerable endpoint.
There are currently no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants immediate action.
Refer to the wwbn/avideo security advisories on their official website for the latest information and patch releases.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.