Vulnerabilidad en AVideo de WWBN (CVE-2026-33647)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-434 Subida sin restricciones de ficheros de tipos peligrosos

Fecha de publicación:

23/03/2026

Última modificación:

25/03/2026

Descripción

WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, el método &#39;ImageGallery::saveFile()&#39; valida el contenido de los archivos subidos usando la detección de tipo MIME &#39;finfo&#39; pero deriva la extensión del nombre de archivo guardado del nombre de archivo original proporcionado por el usuario sin una verificación de lista de permitidos. Un atacante puede subir un archivo políglota (bytes mágicos JPEG válidos seguidos de código PHP) con una extensión &#39;.php&#39;. La verificación MIME pasa, pero el archivo se guarda como un archivo &#39;.php&#39; ejecutable en un directorio accesible por web, logrando Ejecución Remota de Código. El commit 345a8d3ece0ad1e1b71a704c1579cbf885d8f3ae contiene un parche.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto