平台
php
组件
wwbn/avideo
修复版本
26.0.1
25.0.1
CVE-2026-33293 是 wwbn/avideo 中发现的路径遍历漏洞。该漏洞允许经过身份验证的攻击者利用 plugin/CloneSite/cloneServer.json.php 中的 deleteDump 参数,通过路径遍历序列(例如 ../../)删除服务器上的任意文件,从而导致服务中断或进一步攻击。该漏洞影响 wwbn/avideo 版本小于等于 25.0,已于 26.0 版本修复。
该路径遍历漏洞的潜在影响非常严重。攻击者可以利用此漏洞删除关键应用程序文件,例如 configuration.php,从而导致完全的服务中断。更糟糕的是,攻击者可以通过删除安全关键文件来进一步攻击系统,例如删除身份验证或授权相关的文件。攻击者可以完全控制受影响的服务器,并可能窃取敏感数据或安装恶意软件。由于该漏洞需要有效的克隆凭据,因此攻击者必须首先获得对系统的访问权限,但一旦获得访问权限,后果将不堪设想。
目前尚未公开已知利用此漏洞的公开 POC。该漏洞已于 2026 年 3 月 19 日公开。CISA 尚未将其添加到 KEV 目录。由于需要有效的克隆凭据,因此利用此漏洞的可能性可能较低,但仍应予以重视。
Organizations utilizing wwbn/avideo versions 25.0 and earlier, particularly those with publicly accessible clone functionality, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to impact other users' data and configurations.
• wordpress / composer / npm:
grep -r 'unlink($_GET["deleteDump"]);' /var/www/avideo/• generic web:
curl -I 'http://your-avideo-site.com/plugin/CloneSite/cloneServer.json.php?deleteDump=../../../../etc/passwd' | grep '403 Forbidden'disclosure
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
为了缓解 CVE-2026-33293 的影响,建议立即升级到 wwbn/avideo 26.0 版本或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,限制对 plugin/CloneSite/cloneServer.json.php 的访问,只允许授权用户访问。其次,实施严格的输入验证,确保 deleteDump 参数不包含任何路径遍历序列。最后,监控服务器上的文件系统活动,以检测任何未经授权的文件删除尝试。升级后,请验证漏洞是否已成功修复,例如通过尝试使用路径遍历序列删除文件来测试。
Actualice AVideo a la versión 26.0 o posterior. Esta versión corrige la vulnerabilidad de path traversal en el plugin CloneSite, impidiendo la eliminación arbitraria de archivos en el servidor.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33293 是 wwbn/avideo 版本小于等于 25.0 中发现的路径遍历漏洞,允许攻击者删除服务器上的任意文件,导致服务中断或进一步攻击。
如果您正在使用 wwbn/avideo 版本小于等于 25.0,则您可能受到此漏洞的影响。请立即升级到 26.0 版本或更高版本。
建议立即升级到 wwbn/avideo 26.0 版本或更高版本。如果无法升级,请实施临时缓解措施,例如限制访问和输入验证。
目前尚未公开已知利用此漏洞的公开 POC,但仍应予以重视。
请查阅 wwbn/avideo 官方安全公告,以获取有关此漏洞的更多信息和修复指南。
CVSS 向量