CVE-2026-33513

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

23/03/2026

Última modificación:

24/03/2026

Descripción

WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, un endpoint de API no autenticado (&#39;APIName=locale&#39;) concatena la entrada del usuario en una ruta de &#39;include&#39; sin canonicalización ni lista blanca. Se acepta el salto de ruta, por lo que archivos PHP arbitrarios bajo la raíz web pueden ser incluidos. En nuestra prueba, esto resultó en divulgación de archivos y ejecución de código confirmadas de contenido PHP existente (por ejemplo, &#39;view/about.php&#39;), y *puede* escalar a RCE si un atacante puede colocar o controlar un archivo PHP en otro lugar del árbol. En el momento de la publicación, no hay versiones parcheadas disponibles.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.60 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

8.60

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://github.com/WWBN/AVideo/security/advisories/GHSA-8fw8-q79c-fp9m