平台
php
组件
wwbn/avideo
修复版本
26.0.1
26.0.1
CVE-2026-33493是一个高危路径遍历漏洞,存在于wwbn/avideo组件中。攻击者可以通过构造恶意的fileURI参数,绕过安全检查,访问未经授权的文件。此漏洞影响版本小于等于26.0。目前,官方已发布安全公告,建议尽快更新或采取缓解措施。
该漏洞允许经过身份验证的具有上传权限的用户,通过导入操作读取任意文件。攻击者不仅可以窃取其他用户的私有视频文件,还可以读取位于.mp4文件旁边的.txt、.html和.htm文件。这种攻击方式可能导致敏感信息泄露,例如用户数据、配置文件或源代码。由于该漏洞允许读取任意文件,攻击者可能进一步利用这些信息进行横向移动或执行其他恶意活动。该漏洞的潜在影响范围取决于系统配置和数据敏感性。
该漏洞已于2026年3月20日公开披露。目前尚未观察到大规模的公开利用,但由于漏洞的严重性和易利用性,存在被攻击者的利用的可能性。建议密切关注安全社区的动态,及时获取最新的威胁情报。
Organizations using wwbn/avideo for video management, particularly those with shared hosting environments or legacy configurations, are at risk. Users with upload permissions within the application are especially vulnerable, as they are the ones who can exploit this vulnerability to access sensitive files.
• php / server:
grep -r 'fileURI' /var/www/avideo/• php / server:
find /var/www/avideo/ -name 'import.json.php'• generic web:
curl -I http://your-avideo-server/objects/import.json.php?fileURI=../../../../etc/passwddisclosure
漏洞利用状态
EPSS
0.08% (23% 百分位)
CISA SSVC
官方建议升级到最新版本以修复此漏洞。如果无法立即升级,可以考虑以下缓解措施:首先,严格限制用户上传文件的权限,确保只有授权用户才能访问上传功能。其次,实施输入验证和过滤,对fileURI参数进行严格的白名单验证,防止恶意路径注入。此外,可以配置Web应用防火墙(WAF)或代理服务器,拦截包含恶意路径的请求。最后,定期审查系统日志,监控异常活动,及时发现和响应潜在的攻击。
Actualice AVideo a una versión posterior a la 26.0. La vulnerabilidad se soluciona en el commit e110ff542acdd7e3b81bdd02b8402b9f6a61ad78. Esto evitará el recorrido de directorios y la posible lectura/eliminación de archivos arbitrarios.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33493是一个高危路径遍历漏洞,存在于wwbn/avideo组件中,允许攻击者读取未经授权的文件。
如果您正在使用wwbn/avideo组件,且版本小于等于26.0,则可能受到此漏洞的影响。
建议升级到最新版本以修复此漏洞。如果无法升级,请采取缓解措施,如限制用户权限和实施输入验证。
目前尚未观察到大规模的公开利用,但存在被攻击者的利用的可能性。
请查阅wwbn/avideo官方网站或安全公告页面,获取有关CVE-2026-33493的详细信息。
CVSS 向量