Vulnerabilidad en WWBN AVideo (CVE-2026-33037)

WWBN AVideo es una plataforma de video de código abierto. En las versiones 25.0 e inferiores, los archivos oficiales de despliegue de Docker (docker-compose.yml, env.example) se distribuyen con la contraseña de administrador establecida como 'password', que se utiliza automáticamente para inicializar la cuenta de administrador durante la instalación, lo que significa que cualquier instancia desplegada sin sobrescribir SYSTEM_ADMIN_PASSWORD es inmediatamente vulnerable a una toma de control administrativa trivial. No existen controles compensatorios: no hay cambio de contraseña forzado en el primer inicio de sesión, no hay validación de complejidad, no hay detección de contraseña por defecto, y la contraseña se hashea con un MD5 débil. El acceso completo de administrador permite la exposición de datos de usuario, la manipulación de contenido y la potencial ejecución remota de código a través de la carga de archivos y la gestión de plugins. El mismo patrón de valores predeterminados inseguros se extiende a las credenciales de la base de datos (avideo/avideo), lo que agrava el riesgo. La explotación depende de que los operadores no cambien el valor predeterminado, una condición que probablemente se cumpla en despliegues de inicio rápido, demostraciones y automatizados. Este problema ha sido solucionado en la versión 26.0.