Kritische Sicherheitslücke in WWBN AVideo - CVE-2026-33293
⚠️ CVE-Referenzen:
CVE-2026-33293
Zusammenfassung
In der Open-Source-Videoplattform WWBN AVideo erlaubte eine Sicherheitslücke bis Version 26.0 Angreifern mit gültigen Klonberechtigungen, durch Pfadüberschreitung beliebige Dateien auf dem Server zu löschen, darunter sogar die Konfigurationsdatei. Dies führte zu einem kompletten Ausfall der Anwendung und ermöglichte weitere Angriffe. Der Patch in Version 26.0 schließt diese kritische Schwachstelle mit einer Einstufung von 8.1.
WWBN AVideo is an open source video platform. Prior to version 26.0, the `deleteDump` parameter in `plugin/CloneSite/cloneServer.json.php` is passed directly to `unlink()` without any path sanitization. An attacker with valid clone credentials can use path traversal sequences (e.g., `../../`) to delete arbitrary files on the server, including critical application files such as `configuration.php`, causing complete denial of service or enabling further attacks by removing security-critical files. Version 26.0 fixes the issue.
Quelle: app.opencve.io