Vulnerabilidad en AVideo de WWBN (CVE-2026-33719)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

23/03/2026

Última modificación:

25/03/2026

Descripción

WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, los endpoints del plugin CDN &#39;plugin/CDN/status.json.php&#39; y &#39;plugin/CDN/disable.json.php&#39; usan autenticación basada en clave con una clave predeterminada de cadena vacía. Cuando el plugin CDN está habilitado pero la clave no ha sido configurada (el estado predeterminado), la verificación de validación de clave es completamente omitida, permitiendo a cualquier atacante no autenticado modificar la configuración completa del CDN — incluyendo URLs de CDN, credenciales de almacenamiento y la propia clave de autenticación — a través de asignación masiva mediante el parámetro de solicitud &#39;par&#39;. El commit adeff0a31ba04a56f411eef256139fd7ed7d4310 contiene un parche.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.60 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Bajo