CVE-2026-33478

AVideo Multi-Chain Attack: Unauthenticated Remote Code Execution via Clone Key Disclosure, Database Dump, and Command Injection

CVSS 10 CRITICALEPSS 13.3%CWE-284 CWE-78

En resumen

El plugin CloneSite de AVideo expone claves secretas sin autenticación, permitiendo que cualquier persona descargue toda la base de datos y rompa las contraseñas de administrador débiles, luego ejecute comandos arbitrarios en el servidor.

Detalle técnico

La cadena de vulnerabilidades incluye exposición no autenticada de claves de clón a través de clones.json.php, extracción de base de datos por cloneServer.json.php, hashes de contraseña MD5 débiles que facilitan el compromiso de credenciales, e inyección de comandos del sistema en la construcción de rsync en cloneClient.json.php. Un atacante sin autenticación puede escalar desde divulgación de información hasta ejecución remota de código con privilegios de sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.

WWBN AVideo is an open source video platform. In versions up to and including 26.0, multiple vulnerabilities in AVideo's CloneSite plugin chain together to allow a completely unauthenticated attacker to achieve remote code execution. The `clones.json.php` endpoint exposes clone secret keys without authentication, which can be used to trigger a full database dump via `cloneServer.json.php`. The dump contains admin password hashes stored as MD5, which are trivially crackable. With admin access, the attacker exploits an OS command injection in the rsync command construction in `cloneClient.json.php` to execute arbitrary system commands. Commit c85d076375fab095a14170df7ddb27058134d38c contains a patch.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Productos afectados

WWBN · AVideo

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/WWBN/AVideo/commit/c85d076375fab095a14170df7ddb27058134d38c https://github.com/WWBN/AVideo/security/advisories/GHSA-687q-32c6-8x68