Plataforma
php
Componente
wwbn/avideo
Corrigido em
26.0.1
14.3.1
26.0.1
CVE-2026-33766 describes a Server-Side Request Forgery (SSRF) vulnerability discovered in wwbn/avideo versions up to 26.0. This flaw allows attackers to bypass SSRF protection mechanisms by manipulating HTTP redirects, potentially granting access to internal resources. While a direct fix is pending, understanding the vulnerability and implementing temporary mitigations is crucial for protecting your systems.
A vulnerabilidade CVE-2026-33766 no AVideo permite que um atacante realize ataques de Server-Side Request Forgery (SSRF). O componente isSSRFSafeURL() tenta prevenir SSRF verificando os endereços IP das URLs, mas não revalida a URL de destino após urlgetcontents() seguir redirecionamentos HTTP. Isso significa que um atacante pode enganar o sistema para fazer solicitações a recursos internos, mesmo que a URL inicial pareça segura. A falta de revalidação após o redirecionamento permite que a proteção implementada seja contornada, abrindo a porta para a exposição de informações confidenciais ou ações não autorizadas na rede interna. A gravidade desta falha reside no seu potencial para comprometer a segurança da infraestrutura subjacente.
Um atacante pode explorar esta vulnerabilidade configurando um servidor web malicioso que responda a uma solicitação inicial com um redirecionamento HTTP para um recurso interno dentro da rede do AVideo. A solicitação inicial, aparentemente inofensiva, é redirecionada para um recurso interno, que é acessado por urlgetcontents() sem uma validação adequada. Isso permite que o atacante leia arquivos internos, interaja com serviços internos ou até mesmo execute comandos no servidor, dependendo das permissões do usuário que executa o código vulnerável. A complexidade da exploração depende da capacidade do atacante de controlar o servidor web malicioso e da configuração da rede do AVideo.
Organizations utilizing wwbn/avideo versions 26.0 and earlier, particularly those with exposed web applications or internal services accessible via HTTP, are at risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the SSRF vulnerability to access resources belonging to other users.
• php: Examine access logs for requests containing unusual redirects or targeting internal IP addresses. Use grep to search for patterns like Location: http://internal-ip/.
• generic web: Use curl to test for redirect vulnerabilities: curl -v <target_url> | grep Location
• generic web: Monitor response headers for unexpected redirects. Look for Location headers pointing to internal resources.
• php: Review the objects/functions.php file for the vulnerable isSSRFSafeURL() and urlgetcontents() functions. Check for modifications that might bypass the validation logic.
disclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Atualmente, não existe uma correção oficial fornecida pelo desenvolvedor do AVideo. A mitigação imediata mais eficaz é desativar temporariamente a funcionalidade que utiliza urlgetcontents() ou qualquer recurso que dependa da obtenção de conteúdo remoto. Como solução de longo prazo, recomenda-se vivamente atualizar o AVideo para uma versão corrigida assim que estiver disponível. Além disso, pode ser implementada uma validação adicional no código para revalidar a URL de destino após cada redirecionamento HTTP, garantindo que a solicitação final aponte para um recurso seguro. É crucial monitorizar as atualizações de segurança do AVideo e aplicar as correções de segurança de forma oportuna.
Atualize AVideo para uma versão posterior a 26.0. A vulnerabilidade é corrigida no commit 8b7e9dad359d5fac69e0cbbb370250e0b284bc12. Isso evitará a omissão da proteção SSRF (Server-Side Request Forgery) através de redirecionamentos HTTP.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
SSRF (Server-Side Request Forgery) é um ataque em que um atacante engana o servidor para que faça solicitações a recursos que o atacante não deveria ser capaz de acessar diretamente.
Se utilizar o AVideo, esta vulnerabilidade poderá permitir que um atacante aceda a recursos internos da sua rede, o que poderá comprometer a segurança do seu site e dos seus dados.
Desativar a funcionalidade que utiliza urlgetcontents() é uma solução temporária.
Recomenda-se monitorizar as atualizações de segurança do AVideo para obter informações sobre uma correção oficial.
Se suspeitar que o seu site foi comprometido, deve contactar imediatamente um profissional de segurança para o ajudar a investigar e resolver o problema.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.