CRITICAL🇬🇧 English

CVE-2026-33351

SSRF w WWBN AVideo — brak walidacji parametru URL w saveDVR.json.php

CVSS 9.1v3.1pub. 2026-03-23

W platformie WWBN AVideo (open source) przed wersją 26.0 istnieje podatność typu Server-Side Request Forgery (SSRF) w pliku `plugin/Live/standAloneFiles/saveDVR.json.php`. Atakujący bez żadnego uwierzytelnienia może zmusić serwer do wykonania żądań HTTP do dowolnych adresów URL, co zagraża poufności i integralności danych.

Pokaż oryginał (EN)

WWBN AVideo is an open source video platform. Prior to version 26.0, a Server-Side Request Forgery (SSRF) vulnerability exists in `plugin/Live/standAloneFiles/saveDVR.json.php`. When the AVideo Live plugin is deployed in standalone mode (the intended configuration for this file), the `$_REQUEST['webSiteRootURL']` parameter is used directly to construct a URL that is fetched server-side via `file_get_contents()`. No authentication, origin validation, or URL allowlisting is performed. Version 26.0 contains a patch for the issue.

🤖 Analiza AI
Jak działa

Parametr `$_REQUEST['webSiteRootURL']` jest przyjmowany bezpośrednio z żądania HTTP i bez żadnej walidacji, uwierzytelnienia ani listy dozwolonych adresów przekazywany do funkcji `file_get_contents()`, która wykonuje po stronie serwera żądanie do wskazanego URL. Podatność występuje wyłącznie wtedy, gdy wtyczka AVideo Live jest wdrożona w trybie standalone — będącym zalecaną konfiguracją dla tego pliku. Brak mechanizmów kontroli pochodzenia żądania sprawia, że każdy anonimowy użytkownik sieciowy może w pełni kontrolować cel zapytania wykonywanego przez serwer.

Skutki

Atakujący może wykorzystać serwer jako pośrednika do odpytywania wewnętrznych zasobów sieciowych (np. metadanych chmury, usług wewnętrznych niedostępnych z zewnątrz) oraz do odczytu i potencjalnej modyfikacji danych dostępnych przez te zasoby, co przekłada się na wysokie ryzyko naruszenia poufności i integralności.

Mitygacja

Należy zaktualizować WWBN AVideo do wersji 26.0, która zawiera patch rozwiązujący problem. Patch dostępny jest w repozytorium GitHub pod commitem d0c54960389eeb85e76caed5a257ae90e6a739f2.

Kogo dotyczy

WWBN AVideo we wszystkich wersjach przed 26.0, przy wdrożeniu wtyczki AVideo Live w trybie standalone

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Wwbn Avideo

    APP
    Wwbn
    < 26.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SSRF
CWE
Referencje

Powiązane podatności

CVE-2026-41064CRITICAL9.3PL ✓ten sam produkt

WWBN AVideo — niekompletna naprawa command injection w test.php

CVE-2026-40911CRITICAL10.0PL ✓ten sam produkt

WWBN AVideo: RCE przez eval() w pluginie YPTSocket — przejęcie kont

CVE-2026-33867CRITICAL9.1PL ✓ten sam produkt

WWBN AVideo: hasła do filmów przechowywane w bazie jako plaintext

CVE-2026-34374CRITICAL9.1PL ✓ten sam produkt

SQL Injection w WWBN AVideo — mechanizm uwierzytelniania RTMP

CVE-2026-33352CRITICAL9.8PL ✓ten sam produkt

SQL Injection w WWBN AVideo — dostęp bez uwierzytelnienia