CVE-2026-33238 in AVideoinformación

Resumen

por MITRE • 2026-03-21

WWBN AVideo es una plataforma de video de código abierto. Antes de la versión 26.0, el endpoint 'listFiles.json.php' acepta un parámetro POST 'path' y lo pasa directamente a 'glob()' sin restringir la ruta a un directorio base permitido. Un cargador autenticado puede recorrer todo el sistema de archivos del servidor al proporcionar rutas absolutas arbitrarias, enumerando nombres de archivo .mp4 y sus rutas absolutas completas del sistema de archivos dondequiera que existan en el servidor — incluyendo ubicaciones fuera de la raíz web, como directorios de medios privados o premium. La versión 26.0 contiene un parche para el problema.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-18

Divulgación

2026-03-21

Moderación

aceptado

Artículo

VDB-352230

CPE

listo

EPSS

0.00018

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33238
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33238
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33238/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!