免费扫描
HIGHCVE-2026-33292CVSS 7.5

AVideo 存在 HLS 端点中的路径遍历绕过授权漏洞,允许流式传输私有/付费视频

平台

php

组件

wwbn/avideo

修复版本

26.0.1

25.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月
在NVD查看
保存

CVE-2026-33292 描述了 wwbn/avideo 中一个路径遍历漏洞。此漏洞允许未经身份验证的攻击者流式传输平台上的私有或付费视频,严重程度评为高危。该漏洞影响 wwbn/avideo 版本小于或等于 25.0 的用户。建议升级至 26.0 版本以解决此问题。

影响与攻击场景

攻击者可以利用此路径遍历漏洞绕过身份验证机制,访问并流式传输平台上的任何私有或付费视频内容。这可能导致未经授权的访问敏感信息,造成经济损失,损害声誉,甚至可能导致数据泄露。由于该漏洞无需身份验证,攻击者可以轻松利用它,影响范围广泛。该漏洞的本质类似于其他路径遍历漏洞,攻击者可以通过构造恶意的 videoDirectory 参数来访问任意文件。

利用背景

该漏洞已于 2026 年 3 月 19 日公开披露。目前尚无公开的利用程序 (PoC),但由于漏洞的简单性,预计未来可能会出现。该漏洞已添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注安全社区的动态,及时采取应对措施。

哪些人处于风险中翻译中…

Organizations utilizing wwbn/avideo for video streaming, particularly those with private or paid content, are at risk. Shared hosting environments where multiple users share the same instance of wwbn/avideo are especially vulnerable, as an attacker could potentially exploit this vulnerability to access content belonging to other users.

检测步骤翻译中…

• php: Examine access logs for requests containing .. sequences in the videoDirectory parameter of the view/hls.php endpoint. • php: Search for code patterns related to divergent path handling of the videoDirectory parameter, specifically where one path truncates at / and another preserves .. sequences. • generic web: Use curl to test for path traversal by appending ../ sequences to the videoDirectory parameter and observing the response.

curl 'http://your-avideo-instance/view/hls.php?videoDirectory=../../../../etc/passwd'

攻击时间线

  1. Disclosure

    disclosure

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告1 份威胁报告

EPSS

0.05% (15% 百分位)

CISA SSVC

利用情况poc
可自动化yes
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityNone数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
无 — 无完整性影响。
Availability
无 — 无可用性影响。

受影响的软件

组件wwbn/avideo
供应商osv
影响范围修复版本
< 26.0 – < 26.026.0.1
25.025.0.1

软件包信息

最后更新
29.0最近

弱点分类 (CWE)

CWE-22

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期
披露后0天发布补丁

缓解措施和替代方案

最有效的缓解措施是升级到 wwbn/avideo 26.0 版本或更高版本,该版本修复了此漏洞。如果无法立即升级,则可以考虑以下临时缓解措施:严格限制对 view/hls.php 端点的访问,仅允许授权用户访问。实施输入验证,确保 videoDirectory 参数不包含 .. 序列。配置 Web 应用防火墙 (WAF) 以阻止包含路径遍历模式的请求。定期审查和更新安全配置。

修复方法翻译中…

Actualice AVideo a la versión 26.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal en el endpoint HLS.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-33292 — 路径遍历漏洞在 wwbn/avideo 中?

CVE-2026-33292 描述了 wwbn/avideo 中一个路径遍历漏洞,允许未经身份验证的攻击者流式传输平台上的私有或付费视频。

我是否受到 CVE-2026-33292 在 wwbn/avideo 中影响?

如果您正在使用 wwbn/avideo 版本小于或等于 25.0,则您可能受到此漏洞的影响。

我如何修复 CVE-2026-33292 在 wwbn/avideo 中?

建议升级到 wwbn/avideo 26.0 版本或更高版本以修复此漏洞。

CVE-2026-33292 是否正在被积极利用?

目前尚无公开的利用程序,但由于漏洞的简单性,预计未来可能会出现。

在哪里可以找到 wwbn/avideo 官方关于 CVE-2026-33292 的公告?

请查阅 wwbn/avideo 官方安全公告以获取更多信息。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE