# CVE-2026-33297 - Bypass de Controle de Acesso via Coerção de Senha para Zero no AVideo > [!high] CVSS 9.1 - Crítico - Bypass Trivial de Controle de Acesso > Erro lógico no endpoint `setPassword.json.php` do plugin CustomizeUser do **WWBN AVideo** (versões anteriores a 26.0) converte silenciosamente qualquer senha não numérica para o inteiro `0`. Qualquer visitante pode acessar canais protegidos por senha digitando `0`, contornando completamente o controle de acesso. Patch disponível na versão 26.0. ## Visão Geral CVE-2026-33297 é uma vulnerabilidade de **authorization bypass** (CWE-639) na plataforma de vídeo open source WWBN AVideo em versões anteriores a 26.0. A falha é de natureza lógica: o endpoint `setPassword.json.php` do plugin CustomizeUser processa o valor de senha submetido por um administrador e, ao encontrar caracteres não numéricos, silenciosamente converte a senha para o inteiro `0` antes de armazená-la. O resultado é que qualquer visitante não autenticado pode acessar canais "protegidos" simplesmente digitando `0` como senha - tornando o controle de acesso completamente ineficaz. A exploração não requer conhecimentos técnicos avançados: qualquer pessoa ciente desta CVE pode tentar o bypass manualmente. O vetor de autorização ausente [[t1078-valid-accounts|T1078]] combinado com [[t1190-exploit-public-facing-application|T1190]] caracteriza o padrão de ataque. Esta vulnerabilidade integra um cluster de cinco CVEs descobertas na versão 25.x do AVideo, todas corrigidas na versão 26.0 - incluindo a crítica CVE-2026-29058 (RCE, CVSS 9.8). O volume e a severidade indicam revisão de segurança sistemática da plataforma durante o período. > [!latam] Relevância LATAM > O WWBN AVideo é uma plataforma open source utilizada por instituições de [[education|ensino]], portais de mídia e plataformas de treinamento corporativo no Brasil. Organizações que utilizem canais protegidos por senha para distribuição de conteúdo sensível, treinamentos corporativos ou material educacional pago estão diretamente expostas. A atualização para a versão 26.0 é obrigatória e urgente; enquanto o patch não é aplicado, a proteção por senha dos canais deve ser tratada como inexistente. ## Resumo **CVE-2026-33297** é uma vulnerabilidade do tipo **Authorization Bypass Through User-Controlled Key** (CWE-639) encontrada na plataforma de vídeo open source **WWBN AVideo** em versões anteriores a 26.0. A falha está no endpoint `setPassword.json.php` do plugin CustomizeUser. Devido a um erro lógico no processamento do valor de senha submetido, **qualquer senha contendo caracteres não numéricos é silenciosamente convertida para o inteiro zero** antes de ser armazenada. Isso significa que independentemente da senha pretendida pelo administrador, a senha armazenada para controle de acesso ao canal se torna `0` - um valor que qualquer visitante pode adivinhar trivialmente, contornando completamente o controle de acesso ao canal. A vulnerabilidade foi reportada via GitHub Security Advisory GHSA-6547-8hrg-c55m. **Pontuação de risco:** - CVSS v3.1: **9.1** (Crítico) - EPSS: Em análise pelo NVD - CISA KEV: Não listado - Exploit público: Não confirmado ## Impacto Técnico Um atacante que explore esta vulnerabilidade com sucesso pode: - **Bypass de controle de acesso:** acessar canais protegidos por senha sem credenciais válidas, bastando inserir `0` como senha - **Acesso não autorizado a conteúdo:** visualizar vídeos e conteúdo privado restrito a canais protegidos - **Comprometimento de privacidade:** acessar conteúdo corporativo, educacional ou privado indevidamente protegido - **Escalada de ataque:** usar o acesso inicial para explorar outras vulnerabilidades da plataforma (AVideo tem histórico extenso de CVEs críticas em 2026) **Impacto para organizações LATAM/Brasil:** WWBN AVideo é uma plataforma open source utilizada por instituições de [[education|ensino]], portais de mídia e plataformas de treinamento corporativo no Brasil. O impacto é especialmente relevante para organizações que utilizam canais protegidos por senha para distribuição de conteúdo sensível ou premium. O risco é ampliado pelo histórico da plataforma - múltiplas CVEs críticas e altas foram públicadas em março de 2026. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | WWBN | AVideo | < 26.0 | 26.0 | **Não afetado:** AVideo versão 26.0 ou superior. ## Patch e Mitigação **Patch oficial:** - GitHub Security Advisory: GHSA-6547-8hrg-c55m - Repositório: github.com/WWBN/AVideo - Versão corrigida: **26.0** - Data de lançamento do patch: 2026-03-19 **Como aplicar:** 1. Verificar a versão atual da instalação AVideo no painel administrativo 2. Fazer backup completo do banco de dados e arquivos antes de atualizar 3. Atualizar para AVideo versão 26.0 seguindo a documentação oficial de upgrade 4. Após a atualização, forçar redefinição de todas as senhas de canal afetadas 5. Auditar logs de acesso para identificar possíveis acessos não autorizados anteriores **Mitigações temporárias** (quando patch não é imediatamente possível): - Remover temporariamente proteção por senha de canais críticos (paradoxal, mas elimina a falsa sensação de segurança) - Implementar controle de acesso no nível de servidor web (Apache/Nginx) para caminhos sensíveis - Monitorar logs de acesso para tentativas de autenticação com senha `0` ou equivalentes - Considerar migrar conteúdo sensível para uma plataforma alternativa enquanto o patch é aplicado ## Contexto: Histórico de Vulnerabilidades WWBN AVideo (Março 2026) Esta CVE faz parte de uma série de vulnerabilidades descobertas na versão 25.x do AVideo, todas corrigidas na versão 26.0: | CVE | Tipo | CVSS | Impacto | |-----|------|------|---------| | **CVE-2026-33297** | Authorization Bypass | 9.1 | Bypass de senha de canal | | CVE-2026-33038 | Unauthenticated Takeover | 8.1 | Comprometimento total via install endpoint | | CVE-2026-33041 | Info Disclosure | - | Exposição do algoritmo de hash de senhas | | CVE-2026-33037 | Insecure Default | 8.1 | Credenciais admin padrão no Docker | | CVE-2026-29058 | RCE | 9.8 | Execução remota de código | O volume e a severidade das CVEs públicadas em março de 2026 indicam uma revisão de segurança sistemática da plataforma. Organizações utilizando AVideo devem **atualizar urgentemente para a versão 26.0** como prioridade. ## Exploração Ativa **Status atual:** Sem evidência de exploração ativa confirmada **Observação:** A natureza trivial da exploração (inserir `0` como senha) torna o risco prático significativo mesmo sem exploit específico. Qualquer atacante com conhecimento desta CVE pode tentar o bypass manualmente. ## CISA KEV Esta vulnerabilidade **não está listada** no CISA KEV Catalog. Dado o impacto crítico e a facilidade de exploração, monitorar possível adição à KEV. ## Notas Relacionadas **CVEs relacionados:** [[cve-2026-29058|CVE-2026-29058]] · [[cve-2026-33017|CVE-2026-33017]] **TTPs relacionadas:** [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] **Setores em risco:** [[education]] · [[technology]] · [[government]] ## Referências - [NVD - CVE-2026-33297](https://nvd.nist.gov/vuln/detail/CVE-2026-33297)