CVE-2026-33692 in AVideo
Сводка
по VulDB • 17.07.2026
WWBN AVideo — это платформа для видео с открытым исходным кодом. Версии старше 29.0 подвергают несанкционированных пользователей риску получения доступа к файлам .env через официальную конфигурацию Docker Compose. Официальный файл docker-compose.yml монтирует весь корневой каталог проекта в качестве корня документа Apache, что приводит к тому, что файл .env (содержащий учетные данные базы данных, пароли администратора и настройки инфраструктуры) обслуживается как статический файл по адресу /.env. Правила .htaccess или конфигурация Apache не блокируют доступ к файлам с точкой в начале имени. Эксплуатация уязвимости позволяет получить прямой доступ к базе данных, захватить панель управления администратора и выполнить дальнейшее латеральное перемещение внутри сети Docker. Данная проблема была устранена в версии 29.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.