CRITICAL🇬🇧 English

CVE-2026-33867

WWBN AVideo: hasła do filmów przechowywane w bazie jako plaintext

CVSS 9.1v4.0pub. 2026-03-27upd. 2026-03-31

W platformie WWBN AVideo (wersje do 26.0 włącznie) hasła chroniące dostęp do pojedynczych filmów są przechowywane w bazie danych bez żadnego szyfrowania ani hashowania. Uzyskanie dostępu do odczytu bazy danych — np. przez SQL injection lub błędną konfigurację — pozwala atakującemu natychmiast poznać wszystkie hasła w postaci jawnej.

Pokaż oryginał (EN)

WWBN AVideo is an open source video platform. In versions up to and including 26.0, AVideo allows content owners to password-protect individual videos. The video password is stored in the database in plaintext — no hashing, salting, or encryption is applied. If an attacker gains read access to the database (via SQL injection, a database backup, or misconfigured access controls), they obtain all video passwords in cleartext. Commit f2d68d2adbf73588ea61be2b781d93120a819e36 contains a patch.

🤖 Analiza AI
Jak działa

Właściciele treści mogą zabezpieczać hasłem poszczególne filmy w platformie AVideo. Platforma zapisuje te hasła bezpośrednio w bazie danych jako plaintext (CWE-312 — przechowywanie wrażliwych danych bez szyfrowania). Atakujący, który uzyska dostęp do odczytu bazy danych — poprzez SQL injection, wyciek kopii zapasowej lub błędnie skonfigurowane uprawnienia — otrzymuje wszystkie hasła do filmów w formie czytelnej, bez konieczności ich łamania.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wszystkich filmów chronionych hasłem, omijając mechanizm kontroli dostępu. Ujawnione hasła mogą być również wykorzystane w atakach na inne zasoby, jeśli użytkownicy stosują te same hasła w innych miejscach.

Mitygacja

Należy zastosować patch zawarty w commicie f2d68d2adbf73588ea61be2b781d93120a819e36 dostępnym w repozytorium GitHub WWBN/AVideo. Zaleca się również po aktualizacji wymuszenie zmiany wszystkich haseł do filmów, które mogły zostać wcześniej ujawnione.

Kogo dotyczy

WWBN AVideo w wersjach do 26.0 włącznie

Uwagi

Podatność dotyczy wyłącznie haseł chroniących dostęp do filmów, a nie haseł kont użytkowników platformy. Szczegóły techniczne opisano w security advisory GHSA-363v-5rh8-23wg na GitHub.

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Wwbn Avideo

    APP
    Wwbn
    ≤ 26.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-41064CRITICAL9.3PL ✓ten sam produkt

WWBN AVideo — niekompletna naprawa command injection w test.php

CVE-2026-40911CRITICAL10.0PL ✓ten sam produkt

WWBN AVideo: RCE przez eval() w pluginie YPTSocket — przejęcie kont

CVE-2026-34374CRITICAL9.1PL ✓ten sam produkt

SQL Injection w WWBN AVideo — mechanizm uwierzytelniania RTMP

CVE-2026-33351CRITICAL9.1PL ✓ten sam produkt

SSRF w WWBN AVideo — brak walidacji parametru URL w saveDVR.json.php

CVE-2026-33478CRITICAL10.0PL ✓ten sam produkt

RCE bez uwierzytelnienia w WWBN AVideo — łańcuch podatności w pluginie CloneSite