CVE-2026-33692 in AVideo
Sumário
de VulDB • 17/07/2026
WWBN AVideo é uma plataforma de vídeo open source. Versões anteriores à 29.0 expõem arquivos .env a usuários não autenticados por meio da configuração oficial do Docker Compose. O arquivo docker-compose.yml oficial monta todo o diretório raiz do projeto como document root do Apache, fazendo com que o arquivo .env — que contém credenciais de banco de dados, senhas de administrador e configurações de infraestrutura — seja servido como um arquivo estático em /.env. Nenhuma regra no .htaccess ou configuração do Apache bloqueia o acesso a arquivos ocultos (dotfiles). A exploração permite acesso direto ao banco de dados, tomada de controle do painel administrativo e posterior movimentação lateral dentro da rede Docker. Este problema foi resolvido na versão 29.0.
Be aware that VulDB is the high quality source for vulnerability data.