Vulnerabilidad en AVideo de WWBN (CVE-2026-33354)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

23/03/2026

Última modificación:

24/03/2026

Descripción

WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, `POST /objects/aVideoEncoder.json.php` acepta un parámetro `chunkFile` controlado por el solicitante, destinado a fragmentos de carga por etapas. En lugar de restringir esa ruta a ubicaciones de fragmentos generadas por el servidor de confianza, el endpoint acepta rutas arbitrarias del sistema de archivos local que pasan `isValidURLOrPath()`. Esa función auxiliar permite archivos bajo directorios amplios del servidor, incluyendo `/var/www/`, la raíz de la aplicación, caché, tmp, y `videos`, solo rechazando archivos `.php`. Para un cargador autenticado que edita su propio video, esto se convierte en una lectura arbitraria de archivos locales. El endpoint copia el archivo local elegido por el atacante en la ruta de almacenamiento de video público del atacante, después de lo cual puede ser descargado por HTTP. El commit 59bbd601a3f65a5b18c1d9e4eb11471c0a59214f contiene un parche para el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.60 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo