Plataforma
php
Componente
avideo
Corrigido em
29.0.1
Uma vulnerabilidade de SSRF (Server-Side Request Forgery) foi descoberta no AVideo, permitindo que atacantes realizem requisições para recursos internos, potencialmente expondo dados sensíveis. A falha reside na função isSSRFSafeURL() que não valida corretamente o número da porta, permitindo o acesso a portas arbitrárias no servidor. A vulnerabilidade afeta versões de 1.0.0 até 29.0 e foi corrigida na versão 29.1.
Um atacante pode explorar essa vulnerabilidade para realizar requisições para portas não padrão no servidor AVideo, contornando as proteções SSRF. Isso pode permitir o acesso a serviços internos que não deveriam ser acessíveis externamente, como bancos de dados, servidores de administração ou outros serviços de rede. A resposta do servidor é salva em um caminho acessível via web, possibilitando a exfiltração completa de dados. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, comprometimento do sistema e potencial acesso não autorizado a outros recursos da rede.
A vulnerabilidade foi publicada em 2026-04-21. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA Known Exploited Vulnerabilities). A pontuação EPSS (Exploit Prediction Scoring System) ainda não foi determinada. É importante aplicar as medidas de mitigação o mais rápido possível para reduzir o risco de exploração.
Organizations using AVideo in production environments, particularly those with sensitive data or internal services accessible via the web server, are at risk. Shared hosting environments where multiple users share the same AVideo instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability to access data belonging to other users.
• php: Examine the objects/functions.php file for the isSSRFSafeURL() function and its shortcircuit logic. Look for modifications or unexpected behavior related to hostname comparisons.
// Example: Check for the vulnerable logic in isSSRFSafeURL()
if (strpos($_SERVER['HTTP_HOST'], $webSiteRootURL) !== false) {
// Vulnerable shortcircuit
}• generic web: Monitor access logs for requests to the AVideo server using non-standard ports (e.g., 8080, 8443) or unusual hostnames.
• generic web: Check response headers for unexpected content or indicators of data exfiltration.
• generic web: Use curl to test SSRF bypass by attempting to access internal resources using the site's hostname and a non-standard port.
curl -v --connect-timeout 5 http://your-avideo-site.com:8080/internal/resourcedisclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A correção oficial para essa vulnerabilidade é atualizar o AVideo para a versão 29.1 ou superior. Enquanto a atualização não for possível, considere implementar workarounds, como restringir o acesso à rede através de um firewall ou proxy, limitando as portas acessíveis externamente. Implementar regras de WAF (Web Application Firewall) para bloquear requisições com portas não padrão pode ajudar a mitigar o risco. Monitore logs de acesso e erro em busca de requisições suspeitas para portas não padrão.
Atualize AVideo para a versão 29.1 ou superior para mitigar a vulnerabilidade SSRF. Esta atualização corrige a falha na função `isSSRFSafeURL()` que permitia contornar as proteções SSRF ao usar o mesmo hostname do site com uma porta diferente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-41060 is a Server-Side Request Forgery (SSRF) vulnerability in AVideo versions 1.0.0 through 29.0, allowing attackers to bypass SSRF protections and potentially exfiltrate data.
You are affected if you are running AVideo versions 1.0.0 through 29.0. Upgrade to version 29.1 or later to mitigate the vulnerability.
Upgrade AVideo to version 29.1 or later. As a temporary workaround, implement a WAF rule to block requests with non-standard ports or suspicious hostnames.
While no active exploitation has been confirmed, the SSRF nature of the vulnerability suggests a potential for exploitation once a public proof-of-concept is available.
Refer to the official AVideo security advisory for detailed information and updates regarding CVE-2026-41060.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.