CVE-2026-33692 in AVideoinformazioni

Riassunto

di VulDB • 16/07/2026

WWBN AVideo è una piattaforma video open source. Le versioni precedenti alla 29.0 espongono i file .env agli utenti non autenticati tramite la configurazione ufficiale di Docker Compose. Il file docker-compose.yml ufficiale monta l'intera directory radice del progetto come document root di Apache, causando il servizio del file .env — che contiene credenziali del database, password degli amministratori e configurazioni dell'infrastruttura — come file statico alla posizione /.env. Nessuna regola nel file .htaccess o configurazione di Apache blocca l'accesso ai file nascosti (dotfiles). Lo sfruttamento consente l'accesso diretto al database, il takeover del pannello di amministrazione e ulteriore movimento laterale all'interno della rete Docker. Questo problema è stato risolto nella versione 29.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you know our Splunk app?

Download it now for free!