CRITICAL🇬🇧 English

CVE-2026-33478

RCE bez uwierzytelnienia w WWBN AVideo — łańcuch podatności w pluginie CloneSite

CVSS 10.0v3.1pub. 2026-03-23upd. 2026-03-24

WWBN AVideo w wersjach do 26.0 włącznie zawiera łańcuch krytycznych podatności w pluginie CloneSite, który umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) na serwerze. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną dla każdej instancji dostępnej z sieci.

Pokaż oryginał (EN)

WWBN AVideo is an open source video platform. In versions up to and including 26.0, multiple vulnerabilities in AVideo's CloneSite plugin chain together to allow a completely unauthenticated attacker to achieve remote code execution. The `clones.json.php` endpoint exposes clone secret keys without authentication, which can be used to trigger a full database dump via `cloneServer.json.php`. The dump contains admin password hashes stored as MD5, which are trivially crackable. With admin access, the attacker exploits an OS command injection in the rsync command construction in `cloneClient.json.php` to execute arbitrary system commands. Commit c85d076375fab095a14170df7ddb27058134d38c contains a patch.

🤖 Analiza AI
Jak działa

Atak przebiega w trzech etapach. Po pierwsze, endpoint `clones.json.php` ujawnia tajne klucze klonowania bez jakiegokolwiek uwierzytelnienia (Auth Bypass, CWE-284). Po drugie, pozyskany klucz pozwala wywołać `cloneServer.json.php` w celu wygenerowania pełnego zrzutu bazy danych, który zawiera hasła administratorów zahashowane algorytmem MD5 — trivialnie podatnym na łamanie. Po trzecie, po uzyskaniu dostępu administratora atakujący exploituje podatność na command injection (CWE-78) w logice budowania polecenia rsync w pliku `cloneClient.json.php`, co pozwala na wykonanie dowolnych poleceń systemowych.

Skutki

Całkowicie nieuwierzytelniony atakujący sieciowy może przejąć pełną kontrolę nad serwerem, uzyskując możliwość odczytu i modyfikacji danych, instalacji backdoorów oraz zakłócenia dostępności usługi.

Mitygacja

Należy niezwłocznie zastosować patch zawarty w commicie c85d076375fab095a14170df7ddb27058134d38c dostępnym w repozytorium GitHub WWBN/AVideo. Do czasu wdrożenia patcha zaleca się zablokowanie publicznego dostępu do endpointów `clones.json.php`, `cloneServer.json.php` oraz `cloneClient.json.php` na poziomie firewall lub serwera WWW.

Kogo dotyczy

WWBN AVideo w wersjach do 26.0 włącznie z zainstalowanym pluginem CloneSite.

Uwagi

Podatność obejmuje łańcuch trzech odrębnych słabości (CWE-284 + CWE-78) prowadzących do RCE bez uwierzytelnienia. Szczegóły zostały opublikowane w security advisory GHSA-687q-32c6-8x68 w repozytorium GitHub producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Wwbn Avideo

    APP
    Wwbn
    ≤ 26.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth BypassCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2026-41064CRITICAL9.3PL ✓ten sam produkt

WWBN AVideo — niekompletna naprawa command injection w test.php

CVE-2026-40911CRITICAL10.0PL ✓ten sam produkt

WWBN AVideo: RCE przez eval() w pluginie YPTSocket — przejęcie kont

CVE-2026-33867CRITICAL9.1PL ✓ten sam produkt

WWBN AVideo: hasła do filmów przechowywane w bazie jako plaintext

CVE-2026-34374CRITICAL9.1PL ✓ten sam produkt

SQL Injection w WWBN AVideo — mechanizm uwierzytelniania RTMP

CVE-2026-33351CRITICAL9.1PL ✓ten sam produkt

SSRF w WWBN AVideo — brak walidacji parametru URL w saveDVR.json.php

CVE-2026-33478 — RCE bez uwierzytelnienia w WWBN AVideo — łańcuch podatności w pluginie CloneSite — CRITICAL 10.0 | CVEbaza.pl