Vulnerabilidad en AVideo de WWBN (CVE-2026-33507)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

23/03/2026

Última modificación:

24/03/2026

Descripción

WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, el endpoint `objects/pluginImport.json.php` permite a los usuarios administradores subir e instalar archivos ZIP de plugins que contienen código PHP ejecutable, pero carece de protección CSRF. Combinado con la aplicación que establece explícitamente `session.cookie_samesite = &#39;None&#39;` para conexiones HTTPS, un atacante no autenticado puede crear una página que, cuando es visitada por un administrador autenticado, sube silenciosamente un plugin malicioso que contiene una webshell PHP, logrando la ejecución remota de código en el servidor. El commit d1bc1695edd9ad4468a48cea0df6cd943a2635f3 contiene un parche.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto