平台
php
组件
wwbn/avideo
修复版本
26.0.1
25.0.1
CVE-2026-33292 描述了 wwbn/avideo 中一个路径遍历漏洞。此漏洞允许未经身份验证的攻击者流式传输平台上的私有或付费视频,严重程度评为高危。该漏洞影响 wwbn/avideo 版本小于或等于 25.0 的用户。建议升级至 26.0 版本以解决此问题。
攻击者可以利用此路径遍历漏洞绕过身份验证机制,访问并流式传输平台上的任何私有或付费视频内容。这可能导致未经授权的访问敏感信息,造成经济损失,损害声誉,甚至可能导致数据泄露。由于该漏洞无需身份验证,攻击者可以轻松利用它,影响范围广泛。该漏洞的本质类似于其他路径遍历漏洞,攻击者可以通过构造恶意的 videoDirectory 参数来访问任意文件。
该漏洞已于 2026 年 3 月 19 日公开披露。目前尚无公开的利用程序 (PoC),但由于漏洞的简单性,预计未来可能会出现。该漏洞已添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注安全社区的动态,及时采取应对措施。
Organizations utilizing wwbn/avideo for video streaming, particularly those with private or paid content, are at risk. Shared hosting environments where multiple users share the same instance of wwbn/avideo are especially vulnerable, as an attacker could potentially exploit this vulnerability to access content belonging to other users.
• php: Examine access logs for requests containing .. sequences in the videoDirectory parameter of the view/hls.php endpoint.
• php: Search for code patterns related to divergent path handling of the videoDirectory parameter, specifically where one path truncates at / and another preserves .. sequences.
• generic web: Use curl to test for path traversal by appending ../ sequences to the videoDirectory parameter and observing the response.
curl 'http://your-avideo-instance/view/hls.php?videoDirectory=../../../../etc/passwd'disclosure
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
最有效的缓解措施是升级到 wwbn/avideo 26.0 版本或更高版本,该版本修复了此漏洞。如果无法立即升级,则可以考虑以下临时缓解措施:严格限制对 view/hls.php 端点的访问,仅允许授权用户访问。实施输入验证,确保 videoDirectory 参数不包含 .. 序列。配置 Web 应用防火墙 (WAF) 以阻止包含路径遍历模式的请求。定期审查和更新安全配置。
Actualice AVideo a la versión 26.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal en el endpoint HLS.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33292 描述了 wwbn/avideo 中一个路径遍历漏洞,允许未经身份验证的攻击者流式传输平台上的私有或付费视频。
如果您正在使用 wwbn/avideo 版本小于或等于 25.0,则您可能受到此漏洞的影响。
建议升级到 wwbn/avideo 26.0 版本或更高版本以修复此漏洞。
目前尚无公开的利用程序,但由于漏洞的简单性,预计未来可能会出现。
请查阅 wwbn/avideo 官方安全公告以获取更多信息。
CVSS 向量