CVE-2026-33035 CVSS 6.1 中危

CVE-2026-33035: WWBN AVideo反射型XSS漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33035

漏洞类型

XSS (跨站脚本)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个开源视频平台，其在25.0及以下版本中存在反射型XSS漏洞。未经身份验证的攻击者可利用该漏洞在受害者浏览器中执行任意JavaScript。漏洞源于URL参数经PHP的json_encode()处理后被JavaScript函数通过innerHTML渲染，绕过了编码机制。攻击者可利用此漏洞窃取会话Cookie、接管账户或进行钓鱼攻击，严重威胁用户安全。

技术细节

该漏洞由两个核心问题协同引发：首先在videoNotFound.php中，未转义的用户输入被传递到JavaScript上下文；其次在script.js中，使用了不安全的innerHTML方法来渲染接收到的数据。攻击向量始于URL参数，该参数虽经过PHP的json_encode()处理，但在特定场景下仍能绕过部分过滤。当数据通过innerHTML注入页面时，浏览器会将其解析为HTML标签，导致嵌入的JavaScript代码被执行。由于系统未实施严格的输入净化，且PHPSESSID Cookie缺乏HttpOnly保护，攻击者只需诱导受害者访问特制链接，即可触发XSS。成功利用后，攻击者能读取敏感Cookie、劫持用户会话，甚至进一步植入后门或传播恶意载荷，完全控制受害者的账户权限。

攻击链分析

STEP 1

构造攻击链接

攻击者分析受影响版本的AVideo平台，构造包含恶意JavaScript载荷的URL参数（例如使用<img>标签触发onerror事件）。

STEP 2

诱导访问

攻击者将包含恶意载荷的链接发送给目标受害者，通过电子邮件、社交媒体或其他诱骗手段诱导受害者点击。

STEP 3

触发漏洞

受害者访问链接后，服务器端PHP脚本接收参数并经json_encode处理，随后前端JavaScript通过innerHTML将数据渲染到页面中，导致恶意脚本执行。

STEP 4

窃取凭据

恶意脚本在受害者浏览器上下文中运行，读取document.cookie获取会话ID，并将其发送给攻击者控制的服务器。

STEP 5

接管会话

攻击者利用窃取的会话Cookie，无需密码即可登录受害者的账户，进而可能提升权限或进行进一步破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-33035 (WWBN AVideo Reflected XSS)
 * Description: The vulnerability takes a user input from a URL parameter,
 * passes it through json_encode(), and renders it via innerHTML in script.js.
 * This allows execution of arbitrary JavaScript.
 */

// Step 1: Construct the malicious payload
// Using an image tag with onerror is a common bypass for simple reflection points
var payload = '<img src=x onerror=alert(document.cookie)>';

// Step 2: The vulnerable endpoint is likely related to video not found handling
// Assume the parameter name is 'videoId' based on context
var targetUrl = 'http://target-avideo-site.com/videoNotFound.php?videoId=' + encodeURIComponent(payload);

// Step 3: Simulate the victim visiting the link
// In a real attack scenario, the attacker sends this link to the victim.
console.log("Attack URL: " + targetUrl);
// When the victim loads the URL, the PHP backend processes the input.
// The JavaScript frontend receives the JSON string and renders it via innerHTML.
// The browser executes the alert, demonstrating the XSS.

影响范围

WWBN AVideo <= 25.0

防御指南

临时缓解措施

如果无法立即升级，建议部署Web应用防火墙（WAF）以拦截包含常见XSS攻击特征的请求。同时，管理员应检查服务器配置，确保PHPSESSID等敏感Cookie设置了HttpOnly标志，防止脚本通过document.cookie读取。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表