CVE-2026-33354 in AVideoinfo

Zusammenfassung

von VulDB • 10.05.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 26.0 akzeptiert `POST /objects/aVideoEncoder.json.php` einen vom Anfordernden kontrollierbaren Parameter `chunkFile`, der für gestaffelte Upload-Chunks vorgesehen ist. Statt diesen Pfad auf vertrauenswürdige, vom Server generierte Chunk-Speicherorte zu beschränken, akzeptiert der Endpunkt beliebige lokale Dateisystempfade, die `isValidURLOrPath()` bestehen. Diese Hilfsfunktion erlaubt Dateien unter weit gefassten Serververzeichnissen, einschließlich `/var/www/`, dem Anwendungsstammverzeichnis, dem Cache-Verzeichnis, dem tmp-Verzeichnis und dem `videos`-Verzeichnis, und lehnt lediglich `.php`-Dateien ab. Für einen authentifizierten Uploader, der sein eigenes Video bearbeitet, wird dies zu einem beliebigen lokalen Dateilesezugriff (Local File Read). Der Endpunkt kopiert die vom Angreifer gewählte lokale Datei in den öffentlichen Videospeicherpfad des Angreifers, woraufhin sie über HTTP heruntergeladen werden kann. Der Commit 59bbd601a3f65a5b18c1d9e4eb11471c0a59214f enthält einen Patch für das Problem.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

18.03.2026

Veröffentlichung

23.03.2026

Moderieren

akzeptiert

Eintrag

VDB-352527

CPE

bereit

EPSS

0.00048

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33354
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33354
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33354/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!