CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-33351

Critical
Published: Translated: NVD NIST

Summary

AVideo to otwartoźródłowa platforma wideo, która przed wersją 26.0 zawierała podatność typu Server-Side Request Forgery (SSRF) w pliku `saveDVR.json.php`. W trybie samodzielnym wtyczki AVideo Live, parametr `$_REQUEST['webSiteRootURL']` był używany bezpośrednio do konstruowania URL, co umożliwiało atakującym wykonanie nieautoryzowanych żądań.

Risk Assessment

Podatność ta może prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych serwera, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji. Atakujący mogą wykorzystać tę lukę do przeprowadzenia ataków na inne usługi w sieci lokalnej.

Recommendation

Zaleca się aktualizację do wersji 26.0 lub nowszej, która zawiera poprawkę dla tej podatności. Dodatkowo, warto wdrożyć mechanizmy walidacji URL oraz autoryzacji dla parametrów wejściowych.

Original NVD description (English source)

WWBN AVideo is an open source video platform. Prior to version 26.0, a Server-Side Request Forgery (SSRF) vulnerability exists in `plugin/Live/standAloneFiles/saveDVR.json.php`. When the AVideo Live plugin is deployed in standalone mode (the intended configuration for this file), the `$_REQUEST['webSiteRootURL']` parameter is used directly to construct a URL that is fetched server-side via `file_get_contents()`. No authentication, origin validation, or URL allowlisting is performed. Version 26.0 contains a patch for the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS