Plataforma
php
Componente
wwbn/avideo
Corrigido em
26.0.1
26.0.1
Uma vulnerabilidade de Path Traversal foi descoberta no componente wwbn/avideo, afetando versões até 26.0. A falha reside no endpoint objects/pluginRunDatabaseScript.json.php, onde a falta de sanitização do parâmetro name permite que atacantes acessem arquivos fora do diretório de plugins. Isso possibilita a execução de consultas SQL arbitrárias contra o banco de dados da aplicação, comprometendo a integridade e confidencialidade dos dados. A vulnerabilidade foi divulgada em 25 de março de 2026.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante, com privilégios de administrador ou através de um ataque CSRF, execute código SQL arbitrário no banco de dados da aplicação. Isso pode levar à exfiltração de dados sensíveis, modificação de registros, ou até mesmo à tomada de controle completa do sistema. O impacto é severo, pois a execução de SQL arbitrário pode comprometer a integridade de todo o banco de dados, expondo informações confidenciais de usuários e da organização. A possibilidade de execução de SQL arbitrário se assemelha a ataques de injeção SQL, mas com a capacidade de ler e executar arquivos SQL arbitrários no sistema de arquivos, ampliando o escopo do ataque.
A vulnerabilidade foi divulgada publicamente em 25 de março de 2026. Não há informações disponíveis sobre sua inclusão no KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de um EPSS (Exploit Prediction Scoring System) score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade (Path Traversal e SQL Injection) a torna um alvo potencial para exploração por atacantes.
Organizations using wwbn/avideo in environments where administrators have access to the plugin management interface are at risk. Shared hosting environments where multiple users share the same server and database are particularly vulnerable, as an attacker could potentially exploit this vulnerability to compromise other users' data. Legacy configurations with outdated security practices are also at increased risk.
• php: Examine access logs for requests to objects/pluginRunDatabaseScript.json.php with unusual or potentially malicious values in the name parameter. Use grep to search for patterns like ../ or absolute paths.
grep 'pluginRunDatabaseScript.json.php.*../' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with various payloads, observing the response for errors or unexpected behavior.
curl -X POST -d 'name=../../../../etc/passwd' http://your-avideo-server/objects/pluginRunDatabaseScript.json.phpdisclosure
Status do Exploit
EPSS
0.05% (percentil 17%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para uma versão corrigida do wwbn/avideo. Se a atualização imediata não for possível, considere as seguintes medidas temporárias: restringir o acesso ao endpoint objects/pluginRunDatabaseScript.json.php através de um Web Application Firewall (WAF) ou proxy reverso, implementando regras que bloqueiem requisições com parâmetros name suspeitos. Além disso, revise as permissões de acesso ao diretório de plugins para garantir que apenas usuários autorizados possam modificar os arquivos. Monitore os logs de acesso e erros em busca de tentativas de acesso não autorizado ao endpoint vulnerável. Após a atualização, confirme a correção executando testes de penetração para verificar se a vulnerabilidade foi efetivamente eliminada.
Actualice AVideo a una versión posterior a la 26.0. La actualización corrige la vulnerabilidad de path traversal en el endpoint `pluginRunDatabaseScript.json.php`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33681 is a Path Traversal vulnerability in wwbn/avideo that allows attackers to execute arbitrary SQL queries against the database by manipulating the 'name' parameter.
You are affected if you are using wwbn/avideo versions 26.0 or earlier. This vulnerability impacts systems where administrators have access to the plugin management interface.
Upgrade to a patched version of wwbn/avideo. As a temporary workaround, implement a WAF rule to block or filter the 'name' parameter.
While no public exploits are currently known, the vulnerability's nature suggests a potential for exploitation. Monitor security advisories and threat intelligence feeds.
Refer to the official wwbn/avideo security advisories for the most up-to-date information and patch details. Check their website and relevant security mailing lists.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.