Vulnerabilidad en AVideo de WWBN (CVE-2026-33237)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-918 Falsificación de solicitud en servidor (SSRF)

Fecha de publicación:

21/03/2026

Última modificación:

13/04/2026

Descripción

WWBN AVideo es una plataforma de video de código abierto. Antes de la versión 26.0, la función &#39;run()&#39; del plugin Scheduler en &#39;plugin/Scheduler/Scheduler.php&#39; llama a &#39;url_get_contents()&#39; con una &#39;callbackURL&#39; configurable por el administrador que es validada únicamente por &#39;isValidURL()&#39; (verificación de formato de URL). A diferencia de otros endpoints de AVideo que fueron recientemente parcheados para SSRF (GHSA-9x67-f2v7-63rw, GHSA-h39h-7cvg-q7j6), la URL de callback del Scheduler nunca pasa por &#39;isSSRFSafeURL()&#39;, que bloquea las solicitudes a direcciones privadas RFC-1918, loopback y endpoints de metadatos en la nube. Un administrador puede configurar una tarea programada con una &#39;callbackURL&#39; de red interna para realizar SSRF contra servicios de metadatos de infraestructura en la nube o APIs internas no accesibles de otra manera desde internet. La versión 26.0 contiene un parche para el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno