WWBN AVideo w wersjach do 26.0 włącznie zawiera łańcuch krytycznych podatności w pluginie CloneSite, który umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) na serwerze. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną dla każdej instancji dostępnej z sieci.
▸ Pokaż oryginał (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, multiple vulnerabilities in AVideo's CloneSite plugin chain together to allow a completely unauthenticated attacker to achieve remote code execution. The `clones.json.php` endpoint exposes clone secret keys without authentication, which can be used to trigger a full database dump via `cloneServer.json.php`. The dump contains admin password hashes stored as MD5, which are trivially crackable. With admin access, the attacker exploits an OS command injection in the rsync command construction in `cloneClient.json.php` to execute arbitrary system commands. Commit c85d076375fab095a14170df7ddb27058134d38c contains a patch.
Atak przebiega w trzech etapach. Po pierwsze, endpoint `clones.json.php` ujawnia tajne klucze klonowania bez jakiegokolwiek uwierzytelnienia (Auth Bypass, CWE-284). Po drugie, pozyskany klucz pozwala wywołać `cloneServer.json.php` w celu wygenerowania pełnego zrzutu bazy danych, który zawiera hasła administratorów zahashowane algorytmem MD5 — trivialnie podatnym na łamanie. Po trzecie, po uzyskaniu dostępu administratora atakujący exploituje podatność na command injection (CWE-78) w logice budowania polecenia rsync w pliku `cloneClient.json.php`, co pozwala na wykonanie dowolnych poleceń systemowych.
Całkowicie nieuwierzytelniony atakujący sieciowy może przejąć pełną kontrolę nad serwerem, uzyskując możliwość odczytu i modyfikacji danych, instalacji backdoorów oraz zakłócenia dostępności usługi.
Należy niezwłocznie zastosować patch zawarty w commicie c85d076375fab095a14170df7ddb27058134d38c dostępnym w repozytorium GitHub WWBN/AVideo. Do czasu wdrożenia patcha zaleca się zablokowanie publicznego dostępu do endpointów `clones.json.php`, `cloneServer.json.php` oraz `cloneClient.json.php` na poziomie firewall lub serwera WWW.
WWBN AVideo w wersjach do 26.0 włącznie z zainstalowanym pluginem CloneSite.
Podatność obejmuje łańcuch trzech odrębnych słabości (CWE-284 + CWE-78) prowadzących do RCE bez uwierzytelnienia. Szczegóły zostały opublikowane w security advisory GHSA-687q-32c6-8x68 w repozytorium GitHub producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HWwbn Avideo
APPWwbn≤ 26.0
Powiązane podatności
WWBN AVideo — niekompletna naprawa command injection w test.php
WWBN AVideo: RCE przez eval() w pluginie YPTSocket — przejęcie kont
WWBN AVideo: hasła do filmów przechowywane w bazie jako plaintext
SQL Injection w WWBN AVideo — mechanizm uwierzytelniania RTMP
SSRF w WWBN AVideo — brak walidacji parametru URL w saveDVR.json.php