WWBN AVideo hasta 25.x Password Change SYSTEM_ADMIN_PASSWORD escalada de privilegios
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 6.7 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad clasificada como problemática ha sido encontrada en WWBN AVideo hasta 25.x. Resulta afectada una función desconocida dentro del componente Password Change Handler. La alteración resulta en escalada de privilegios. Esta vulnerabilidad está identificada como CVE-2026-33037. El ataque puede realizarse a distancia. Ningún exploit está disponible. Es recomendable actualizar el componente afectado.
Detalles
Una vulnerabilidad ha sido encontrada en WWBN AVideo hasta 25.x y clasificada como problemática. La función SYSTEM_ADMIN_PASSWORD del componente Password Change Handler es afectada por esta vulnerabilidad. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. CVE resume:
WWBN AVideo es una plataforma de video de código abierto. En las versiones 25.0 e inferiores, los archivos oficiales de despliegue de Docker (docker-compose.yml, env.example) se distribuyen con la contraseña de administrador establecida como 'password', que se utiliza automáticamente para inicializar la cuenta de administrador durante la instalación, lo que significa que cualquier instancia desplegada sin sobrescribir SYSTEM_ADMIN_PASSWORD es inmediatamente vulnerable a una toma de control administrativa trivial. No existen controles compensatorios: no hay cambio de contraseña forzado en el primer inicio de sesión, no hay validación de complejidad, no hay detección de contraseña por defecto, y la contraseña se hashea con un MD5 débil. El acceso completo de administrador permite la exposición de datos de usuario, la manipulación de contenido y la potencial ejecución remota de código a través de la carga de archivos y la gestión de plugins. El mismo patrón de valores predeterminados inseguros se extiende a las credenciales de la base de datos (avideo/avideo), lo que agrava el riesgo. La explotación depende de que los operadores no cambien el valor predeterminado, una condición que probablemente se cumpla en despliegues de inicio rápido, demostraciones y automatizados. Este problema ha sido solucionado en la versión 26.0.El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2026-33037. Resulta difícil de explotar. El ataque puede ser realizado a través de la red. La explotación no requiere ninguna forma de autentificación. Hay detalles técnicos conocidos, pero no se dispone de un exploit.
Una actualización a la versión 26.0 elimina esta vulnerabilidad. Aplicando el parche 2075fac1a51f21fab5d8592235a095aa354a9de6 es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Producto
Proveedor
Nombre
Versión
Licencia
Sitio web
- Producto: https://github.com/WWBN/AVideo/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 6.8VulDB Puntuación meta temporal: 6.7
VulDB Puntuación base: 5.6
VulDB Puntuación temporal: 5.4
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍
CNA Puntuación base: 8.1
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍
Explotación
Clase: Escalada de privilegiosCWE: CWE-1188
CAPEC: 🔒
ATT&CK: 🔒
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔒
Estado: No está definido
EPSS Score: 🔒
EPSS Percentile: 🔒
Predicción de precios: 🔍
Estimación del precio actual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔒
Actualización: AVideo 26.0
Parche: 2075fac1a51f21fab5d8592235a095aa354a9de6
Línea de tiempo
2026-03-17 CVE asignado2026-03-20 Aviso publicado
2026-03-20 Entrada de VulDB creada
2026-03-26 Última actualización de VulDB
Fuentes
Producto: github.comAviso: GHSA-89rv-p523-6wg9
Estado: Confirmado
CVE: CVE-2026-33037 (🔒)
GCVE (CVE): GCVE-0-2026-33037
GCVE (VulDB): GCVE-100-351826
Artículo
Fecha de creación: 2026-03-20 07:24Actualizado: 2026-03-26 09:21
Cambios: 2026-03-20 07:24 (67), 2026-03-26 09:21 (1)
Completo: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.