Vulnerabilidad en WWBN AVideo (CVE-2026-33041)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

20/03/2026

Última modificación:

23/03/2026

Descripción

WWBN AVideo es una plataforma de video de código abierto. En las versiones 25.0 e inferiores, /objects/encryptPass.json.php expone el algoritmo de hash de contraseñas de la aplicación a cualquier usuario no autenticado. Un atacante puede enviar contraseñas arbitrarias y recibir sus equivalentes hasheados, lo que permite el cracking de contraseñas offline contra hashes de bases de datos filtrados. Si un atacante obtiene hashes de contraseñas de la base de datos (mediante inyección SQL, exposición de copias de seguridad, etc.), puede descifrarlos instantáneamente comparándolos con hashes precalculados de este endpoint. Este endpoint elimina la necesidad de que un atacante realice ingeniería inversa del algoritmo de hash. Combinado con la débil cadena de hash (md5+whirlpool+sha1, sin salt por defecto), un atacante con acceso a los hashes de la base de datos puede descifrar contraseñas extremadamente rápido. Este problema se solucionó en la versión 26.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno