Plataforma
php
Componente
wwbn/avideo
Corrigido em
26.0.1
26.0.1
A vulnerabilidade CVE-2026-33867 no AVideo armazena senhas de vídeo em texto claro no banco de dados, sem hashing ou criptografia. O impacto é o acesso às senhas de vídeo. As versões afetadas são as anteriores ou iguais a 26.0. No official patch available.
A vulnerabilidade CVE-2026-33867 no AVideo expõe os vídeos protegidos por senha a um risco significativo. O sistema armazena as senhas dos vídeos diretamente no banco de dados, sem aplicar qualquer tipo de criptografia, hash ou sal. Isso significa que, se um atacante obtiver acesso ao banco de dados – seja por injeção SQL, um backup comprometido ou controles de acesso mal configurados – ele poderá recuperar todas as senhas dos vídeos em texto simples. O impacto é grave, permitindo o acesso não autorizado ao conteúdo protegido, comprometendo a privacidade e a segurança dos usuários e criadores de conteúdo. A falta de um patch disponível agrava a situação, exigindo medidas de mitigação imediatas.
A exploração desta vulnerabilidade requer acesso ao banco de dados do AVideo. Um atacante pode tentar injeção SQL para manipular consultas e extrair as senhas diretamente. Comprometer um backup do banco de dados desprotegido também pode ser um vetor. Configurações incorretas de permissões do banco de dados que permitam acesso não autorizado também podem ser exploradas. Uma vez que o atacante tenha acesso ao banco de dados, ele pode ler as senhas dos vídeos em texto simples, permitindo que ele acesse o conteúdo protegido sem a necessidade da senha real.
Content owners and platforms utilizing wwbn/avideo to manage and protect video content are at significant risk. Specifically, those relying on the default password protection mechanism without implementing additional security measures are most vulnerable. Shared hosting environments where multiple users share a database are also at increased risk.
• php: Examine the objects/video.php file for the vulnerable setVideo_password function. Search database tables for plaintext video password storage.
grep -r 'video_password' /path/to/avideo/objects/• database (mysql): Query the database to check for plaintext video passwords.
SELECT video_password FROM videos WHERE video_password IS NOT NULL AND video_password != '';• generic web: Monitor database access logs for unusual activity or unauthorized access attempts.
disclosure
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Diante da ausência de um patch oficial para CVE-2026-33867, a mitigação imediata se concentra em proteger o banco de dados do AVideo. Recomenda-se fortemente restringir o acesso ao banco de dados, implementando controles de acesso rigorosos e revisando as configurações de segurança para evitar vulnerabilidades como injeção SQL. Auditar regularmente os backups do banco de dados e garantir que estejam protegidos contra acessos não autorizados é crucial. Considerar a migração para uma solução de gerenciamento de vídeo que implemente o armazenamento seguro de senhas (criptografia, hash com sal) é uma solução de longo prazo. Monitorar a atividade do banco de dados em busca de acessos suspeitos também é uma prática recomendada.
Atualize o AVideo para uma versão posterior a 26.0. Isso resolverá o problema de armazenamento de senhas de vídeo em texto simples. A atualização inclui um patch que implementa um método de armazenamento mais seguro para senhas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Restrinja o acesso ao seu banco de dados, revise as configurações de segurança e considere migrar para uma solução mais segura.
Atualmente, não existe um patch oficial para esta vulnerabilidade.
Implemente controles de acesso rigorosos, audite backups e monitore a atividade do banco de dados.
É uma técnica de ataque que permite aos atacantes manipular consultas ao banco de dados para acessar informações confidenciais.
Significa que as senhas não estão criptografadas ou protegidas de forma alguma, tornando-as facilmente acessíveis se o banco de dados for comprometido.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.