CVE-2026-29093

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-29093
WWBN AVideo is an open source video platform. Prior to version 24.0, the official docker-compose.yml publishes the memcached service on host port 11211 (0.0.0.0:11211) with no authentication, while the Dockerfile configures PHP to store all user sessions in that memcached instance. An attacker who can reach port 11211 can read, modify, or flush session data — enabling session hijacking, admin impersonation, and mass session destruction without any application-level authentication. This issue has been patched in version 24.0.

8.1 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.2 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/WWBN/AVideo/releases/tag/24.0
https://github.com/WWBN/AVideo/security/advisories/GHSA-xxpw-32hf-q8v9
Configurations

No configuration.

History

09 Mar 2026, 13:36

Type Values Removed Values Added
Summary
  • (es) WWBN AVideo es una plataforma de video de código abierto. Antes de la versión 24.0, el docker-compose.yml oficial publica el servicio memcached en el puerto de host 11211 (0.0.0.0:11211) sin autenticación, mientras que el Dockerfile configura PHP para almacenar todas las sesiones de usuario en esa instancia de memcached. Un atacante que puede alcanzar el puerto 11211 puede leer, modificar o vaciar datos de sesión — lo que permite el secuestro de sesión, la suplantación de administrador y la destrucción masiva de sesiones sin ninguna autenticación a nivel de aplicación. Este problema ha sido parcheado en la versión 24.0.

06 Mar 2026, 04:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-03-06 04:16

Updated : 2026-03-09 13:36

NVD link : CVE-2026-29093

Mitre link : CVE-2026-29093

CVE.ORG link : CVE-2026-29093

JSON object : View

Products Affected

No product.

CWE
CWE-287

Improper Authentication

CWE-668

Exposure of Resource to Wrong Sphere