WWBN AVideo hasta 26.0 HTTP Request plugin/Live/test.php escalada de privilegios
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 8.2 | $0-$5k | 0.00 |
Resumen
Se ha encontrado una vulnerabilidad clasificada como crítica en WWBN AVideo hasta 26.0. Está afectada una función desconocida en el archivo plugin/Live/test.php en el componente HTTP Request Handler. El manejo da lugar a escalada de privilegios. Esta vulnerabilidad está identificada como CVE-2026-33502. El ataque se puede hacer desde la red. No hay ningún exploit disponible. Se aconseja instalar un parche para corregir este problema.
Detalles
Una vulnerabilidad fue encontrada en WWBN AVideo hasta 26.0 y clasificada como crítica. Una función desconocida del archivo plugin/Live/test.php del componente HTTP Request Handler es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. El resumen de CVE es:
WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, una vulnerabilidad de falsificación de petición del lado del servidor no autenticada en 'plugin/Live/test.php' permite a cualquier usuario remoto hacer que el servidor AVideo envíe peticiones HTTP a URLs arbitrarias. Esto puede usarse para sondear servicios localhost/internos y, cuando son accesibles, acceder a recursos HTTP internos o puntos finales de metadatos en la nube. El commit 1e6cf03e93b5a5318204b010ea28440b0d9a5ab3 contiene un parche.El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2026-33502. La explotación se considera fácil. El ataque se puede efectuar a través de la red. La explotación no necesita ninguna autentificación específica. Detalles técnicos son conocidos, pero no hay ningún exploit público disponible.
Buscando inurl:plugin/Live/test.php es posible encontrar objetos vulnerables.
Aplicando el parche 1e6cf03e93b5a5318204b010ea28440b0d9a5ab3 es posible eliminar el problema. El parche puede ser descargado de github.com.
La vulnerabilidad también está documentado en la base de datos EUVD (EUVD-2026-13916). Be aware that VulDB is the high quality source for vulnerability data.
Producto
Proveedor
Nombre
Versión
Licencia
Sitio web
- Producto: https://github.com/WWBN/AVideo/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 8.3VulDB Puntuación meta temporal: 8.2
VulDB Puntuación base: 7.3
VulDB Puntuación temporal: 7.0
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍
NVD Puntuación base: 8.2
NVD Vector: 🔒
CNA Puntuación base: 9.3
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍
Explotación
Clase: Escalada de privilegiosCWE: CWE-918
CAPEC: 🔒
ATT&CK: 🔒
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔒
Estado: No está definido
Google Hack: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Predicción de precios: 🔍
Estimación del precio actual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ParcheEstado: 🔍
Hora de 0 días: 🔒
Parche: 1e6cf03e93b5a5318204b010ea28440b0d9a5ab3
Línea de tiempo
2026-03-20 CVE asignado2026-03-23 Aviso publicado
2026-03-23 Entrada de VulDB creada
2026-03-28 Última actualización de VulDB
Fuentes
Producto: github.comAviso: GHSA-3fpm-8rjr-v5mc
Estado: Confirmado
CVE: CVE-2026-33502 (🔒)
GCVE (CVE): GCVE-0-2026-33502
GCVE (VulDB): GCVE-100-352551
EUVD: 🔒
Artículo
Fecha de creación: 2026-03-23 18:48Actualizado: 2026-03-28 00:35
Cambios: 2026-03-23 18:48 (67), 2026-03-23 20:49 (1), 2026-03-28 00:35 (11)
Completo: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.