Vulnerabilidad en AVideo de WWBN (CVE-2026-33488)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-326 Fortaleza de cifrado inadecuada

Fecha de publicación:

23/03/2026

Última modificación:

24/03/2026

Descripción

WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, la función `createKeys()` en el sistema PGP 2FA del plugin LoginControl genera claves RSA de 512 bits, que han sido factorizables públicamente desde 1999. Un atacante que obtiene la clave pública de un usuario objetivo puede factorizar el módulo RSA de 512 bits en hardware comercial en horas, derivar la clave privada completa y descifrar cualquier desafío PGP 2FA emitido por el sistema — eludiendo completamente el segundo factor de autenticación. Además, los endpoints `generateKeys.json.php` y `encryptMessage.json.php` carecen de cualquier verificación de autenticación, exponiendo la generación de claves que consume mucha CPU a usuarios anónimos. El commit 00d979d87f8182095c8150609153a43f834e351e contiene un parche.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.40 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno