Vulnerabilidad en AVideo de WWBN (CVE-2026-33297)

Gravedad CVSS v4.0:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

23/03/2026

Última modificación:

23/03/2026

Descripción

WWBN AVideo es una plataforma de video de código abierto. Antes de la versión 26.0, el endpoint &#39;setPassword.json.php&#39; en el plugin CustomizeUser permite a los administradores establecer una contraseña de canal para cualquier usuario. Debido a un error de lógica en cómo se procesa el valor de la contraseña enviada, cualquier contraseña que contenga caracteres no numéricos se convierte silenciosamente al entero cero antes de ser almacenada. Esto significa que, independientemente de la contraseña prevista, la contraseña de canal almacenada se convierte en 0, que cualquier visitante puede adivinar trivialmente para eludir el control de acceso a nivel de canal. La versión 26.0 contiene un parche para el problema.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.10 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

5.10

Gravedad 4.0

MEDIA

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno