Plataforma
php
Componente
wwbn/avideo
Corrigido em
26.0.1
26.0.1
Uma vulnerabilidade de falta de autenticação foi descoberta no endpoint plugin/API/check.ffmpeg.json.php do componente wwbn/avideo, afetando versões até 26.0. Essa falha permite que atacantes verifiquem a conectividade do servidor FFmpeg remoto sem a necessidade de autenticação, expondo informações sensíveis da configuração. A atualização para a versão 26.1 corrige essa vulnerabilidade.
A ausência de autenticação no endpoint check.ffmpeg.json.php permite que qualquer usuário, mesmo não autenticado, obtenha informações sobre a configuração do servidor FFmpeg remoto. Isso pode revelar detalhes sobre o ambiente de execução, caminhos de arquivos e outras configurações que podem ser exploradas para ataques subsequentes. Embora o endpoint em si não execute código malicioso, a informação obtida pode ser usada para identificar outras vulnerabilidades ou para realizar ataques de engenharia social direcionados aos administradores do sistema. A falta de proteção em um endpoint de gerenciamento, mesmo que aparentemente inofensivo, representa um risco significativo para a segurança geral do sistema.
Esta vulnerabilidade foi publicada em 2026-04-04. Não há informações disponíveis sobre exploração ativa ou a inclusão em KEV. A ausência de autenticação é um padrão de vulnerabilidade comum e pode ser explorada facilmente com ferramentas básicas de teste de penetração. A pontuação CVSS de 5.3 (Média) reflete o risco potencial associado à divulgação de informações de configuração.
Organizations utilizing wwbn/avideo in environments where FFmpeg is used for media processing are at risk. This is particularly relevant for deployments with limited network segmentation or where the web server is exposed to the public internet. Shared hosting environments using wwbn/avideo are also at increased risk due to the potential for cross-tenant access.
• php: Examine web server access logs for requests to plugin/API/check.ffmpeg.json.php originating from unexpected IP addresses.
grep "/plugin/API/check.ffmpeg.json.php" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr• generic web: Use curl to test the endpoint's accessibility without authentication.
curl http://<your_avideo_server>/plugin/API/check.ffmpeg.json.php• php: Review the plugin/API/ directory for other endpoints lacking authentication checks, particularly those related to system configuration or management.
disclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para a versão 26.1 do wwbn/avideo, que corrige a falta de autenticação. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Restrinja o acesso ao endpoint check.ffmpeg.json.php através de um firewall ou proxy reverso, permitindo apenas conexões de fontes confiáveis. Implemente regras de WAF (Web Application Firewall) para bloquear solicitações não autorizadas ao endpoint. Monitore os logs de acesso do servidor em busca de tentativas de acesso não autorizado ao endpoint.
Atualize o plugin AVideo para a versão 26.1 ou superior para mitigar a vulnerabilidade. Esta atualização corrige a falta de autenticação no endpoint check.ffmpeg.json.php, evitando a divulgação não autorizada de informações de configuração do servidor (FFmpeg).
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35450 descreve uma vulnerabilidade de falta de autenticação no endpoint check.ffmpeg.json.php do componente wwbn/avideo, permitindo acesso não autorizado à configuração do servidor FFmpeg.
Sim, se você estiver utilizando uma versão do wwbn/avideo inferior ou igual a 26.0, você está potencialmente afetado por esta vulnerabilidade.
A correção recomendada é atualizar para a versão 26.1 do wwbn/avideo. Se a atualização não for possível, implemente medidas de mitigação como restrição de acesso e regras de WAF.
Atualmente, não há informações disponíveis sobre exploração ativa desta vulnerabilidade, mas a falta de autenticação representa um risco potencial.
Consulte o site oficial do wwbn/avideo ou o repositório de código para obter o advisory de segurança relacionado ao CVE-2026-35450.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.