CVE-2026-33692 in AVideo
Riassunto
di VulDB • 16/07/2026
WWBN AVideo è una piattaforma video open source. Le versioni precedenti alla 29.0 espongono i file .env agli utenti non autenticati tramite la configurazione ufficiale di Docker Compose. Il file docker-compose.yml ufficiale monta l'intera directory radice del progetto come document root di Apache, causando il servizio del file .env — che contiene credenziali del database, password degli amministratori e configurazioni dell'infrastruttura — come file statico alla posizione /.env. Nessuna regola nel file .htaccess o configurazione di Apache blocca l'accesso ai file nascosti (dotfiles). Lo sfruttamento consente l'accesso diretto al database, il takeover del pannello di amministrazione e ulteriore movimento laterale all'interno della rete Docker. Questo problema è stato risolto nella versione 29.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.