AVideo 多链攻击:通过克隆密钥泄露、数据库转储和命令注入实现未认证远程代码执行
平台
php
组件
wwbn/avideo
修复版本
26.0.1
26.0.1
CVE-2026-33478 是 AVideo CloneSite 插件中的一个严重漏洞,它允许完全未经身份验证的攻击者实现远程代码执行。该漏洞源于 clones.json.php 端点暴露了克隆密钥,并结合了数据库导出和密码破解等环节,最终导致攻击者能够执行任意系统命令。受影响的版本包括 AVideo CloneSite plugin versions ≤26.0。目前尚未发布官方补丁。
影响与攻击场景
AVideo 的 CloneSite 插件中的 CVE-2026-33478 构成重大风险,因为它存在一系列漏洞,允许未经身份验证的攻击者实现远程代码执行。问题在于,在未经身份验证的情况下,通过 clones.json.php 端点公开了克隆密钥。这些密钥可用于通过 cloneServer.json.php 触发完整的数据库转储。由此产生的转储包含以 MD5 格式存储的管理员密码哈希,这些哈希很容易破解。获得管理员访问权限后,攻击者会利用 rsync 命令构造中的操作系统命令注入,从而完全破坏服务器。由于没有可用的修复程序,情况变得更加糟糕,用户仍然容易受到攻击。
利用背景
攻击者无需凭据即可利用此漏洞。该过程从通过 clones.json.php 端点检索克隆密钥开始。使用这些密钥,攻击者可以通过 cloneServer.json.php 请求完整的数据库转储。包含管理员密码哈希的数据库随后会被破解。最后,攻击者使用管理员访问权限通过 rsync 命令中的命令注入在服务器上执行任意命令。Exploit 的简易性和缺乏身份验证使此漏洞成为各种技能水平的攻击者的有吸引力的目标。
哪些人处于风险中翻译中…
Organizations utilizing AVideo CloneSite plugin versions 26.0 and earlier are at significant risk. This includes businesses using AVideo for video cloning and management, particularly those with publicly accessible instances of the plugin. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's instance could potentially lead to the compromise of others.
检测步骤翻译中…
• php: Examine web server access logs for requests to /clones.json.php and /cloneServer.json.php without authentication.
• php: Search plugin files for the rsync command and any user-controlled input used in its construction. Look for instances where user input is directly incorporated into the command without proper sanitization.
• linux / server: Monitor system logs (e.g., /var/log/syslog, /var/log/auth.log) for unusual processes or commands being executed, particularly those related to rsync.
• generic web: Use curl to test the /clones.json.php endpoint without authentication. A successful response indicates the vulnerability is present.
curl http://your-avideo-server/clones.json.php攻击时间线
- Disclosure
disclosure
威胁情报
漏洞利用状态
EPSS
1.95% (83% 百分位)
CISA SSVC
CVSS 向量
这些指标意味着什么?
- Attack Vector
- 网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
- Attack Complexity
- 低 — 无需特殊条件,可以稳定地利用漏洞。
- Privileges Required
- 无 — 无需认证,无需凭证即可利用。
- User Interaction
- 无 — 攻击自动且无声,受害者无需任何操作。
- Scope
- 已改变 — 攻击可以超出脆弱组件,影响其他系统。
- Confidentiality
- 高 — 完全丧失机密性,攻击者可读取所有数据。
- Integrity
- 高 — 攻击者可写入、修改或删除任何数据。
- Availability
- 高 — 完全崩溃或资源耗尽,完全拒绝服务。
受影响的软件
软件包信息
- 最后更新
- 29.0最近
弱点分类 (CWE)
时间线
- 已保留
- 发布日期
- 修改日期
- EPSS 更新日期
缓解措施和替代方案
鉴于 CVE-2026-33478 没有官方修复程序,最有效的即时缓解措施是禁用或删除 AVideo 的 CloneSite 插件。如果该插件是必不可少的,请考虑实施额外的安全措施,例如限制数据库访问、加强密码策略(避免使用 MD5)以及主动监控服务器是否存在可疑活动。此外,建议检查插件的源代码以手动识别和修复漏洞,尽管这需要相当大的技术专业知识。保持服务器软件更新并应用常规安全补丁也有助于降低风险。强烈建议在发布官方解决方案之前寻找 CloneSite 插件的替代方案。
修复方法翻译中…
Actualice AVideo a una versión posterior a la 26.0. La actualización corrige las vulnerabilidades que permiten la ejecución remota de código no autenticado.
CVE 安全通讯
漏洞分析和关键警报直接发送到您的邮箱。
常见问题
CVE-2026-33478 是什么 — wwbn/avideo 中的 Remote Code Execution (RCE)?
这意味着 AVideo 开发人员尚未发布更新来解决此漏洞。这会增加风险并需要替代缓解措施。
wwbn/avideo 中的 CVE-2026-33478 是否会影响我?
MD5 是一种较旧的加密哈希算法,已被广泛证明容易受到碰撞攻击。存在工具和预计算表,可以相对较短的时间内破解 MD5 密码哈希。
如何修复 wwbn/avideo 中的 CVE-2026-33478?
这是一种技术,允许攻击者通过易受攻击的应用程序在底层操作系统上执行任意命令。
CVE-2026-33478 是否正在被积极利用?
如果您正在使用 AVideo 的 CloneSite 插件,则很可能容易受到攻击。您可以尝试访问您网站上的 clones.json.php 以检查是否在没有身份验证的情况下公开了密钥。
在哪里可以找到 wwbn/avideo 关于 CVE-2026-33478 的官方安全通告?
如果该插件是必不可少的,请实施额外的安全措施,例如限制数据库访问、加强密码和监控服务器是否存在可疑活动。