CVE-2026-33351
CriticalSummary
AVideo to otwartoźródłowa platforma wideo, która przed wersją 26.0 zawierała podatność typu Server-Side Request Forgery (SSRF) w pliku `saveDVR.json.php`. W trybie samodzielnym wtyczki AVideo Live, parametr `$_REQUEST['webSiteRootURL']` był używany bezpośrednio do konstruowania URL, co umożliwiało atakującym wykonanie nieautoryzowanych żądań.
Risk Assessment
Podatność ta może prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych serwera, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji. Atakujący mogą wykorzystać tę lukę do przeprowadzenia ataków na inne usługi w sieci lokalnej.
Recommendation
Zaleca się aktualizację do wersji 26.0 lub nowszej, która zawiera poprawkę dla tej podatności. Dodatkowo, warto wdrożyć mechanizmy walidacji URL oraz autoryzacji dla parametrów wejściowych.
Original NVD description (English source)
WWBN AVideo is an open source video platform. Prior to version 26.0, a Server-Side Request Forgery (SSRF) vulnerability exists in `plugin/Live/standAloneFiles/saveDVR.json.php`. When the AVideo Live plugin is deployed in standalone mode (the intended configuration for this file), the `$_REQUEST['webSiteRootURL']` parameter is used directly to construct a URL that is fetched server-side via `file_get_contents()`. No authentication, origin validation, or URL allowlisting is performed. Version 26.0 contains a patch for the issue.

