CVE-2026-33037 WWBN AVideo默认凭证漏洞

漏洞信息

漏洞编号

CVE-2026-33037

漏洞类型

默认凭证漏洞

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo 25.0及以下版本在官方Docker部署中存在严重配置错误。由于未覆盖SYSTEM_ADMIN_PASSWORD时默认管理员密码被硬编码为“password”，且使用弱MD5哈希，攻击者无需认证即可接管管理员权限。此外，数据库凭证也使用了默认值。该漏洞可能导致数据泄露、内容篡改及通过文件上传实现远程代码执行。

技术细节

该漏洞源于WWBN AVideo官方Docker镜像及部署文件（docker-compose.yml）中的不安全默认配置。在安装过程中，系统检查是否设置了环境变量SYSTEM_ADMIN_PASSWORD，若未设置，则使用示例文件中硬编码的默认密码“password”来初始化管理员账户。由于系统未实施首次登录强制修改密码策略、密码复杂度检查或默认密码检测机制，且密码仅使用MD5哈希存储，导致该默认凭证长期有效。攻击者可通过网络访问目标实例，利用默认凭证（用户名通常为admin，密码为password）直接登录后台。获取管理员权限后，攻击者可进一步利用文件上传功能或插件管理功能上传恶意Webshell，从而在服务器上执行任意系统命令，完全控制服务器。同时，数据库连接信息（avideo/avideo）也默认暴露，加剧了数据泄露风险。

攻击链分析

STEP 1

侦察

攻击者扫描网络或Shodan等工具，识别出运行WWBN AVideo的目标实例，特别是使用Docker快速部署的实例。

STEP 2

访问与利用

攻击者访问目标的管理员登录页面，使用硬编码的默认凭证（admin/password）尝试登录。由于系统未强制修改密码，登录成功。

STEP 3

权限提升

成功登录后，攻击者获得系统管理员权限，能够访问所有用户数据、视频内容及系统配置。

STEP 4

执行载荷

利用管理员权限，攻击者通过插件管理或文件上传功能上传Webshell或恶意插件，实现远程代码执行（RCE）。

STEP 5

持久化与横向移动

攻击者利用获取的Shell权限建立后门，并可能利用默认的数据库凭证（avideo/avideo）进一步窃取数据库信息或攻击内网其他服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-33037: Default Admin Credential Takeover
# This script attempts to log in to the AVideo admin panel using default credentials.

import requests

def check_default_creds(target_url):
    login_url = f"{target_url}/user/login"
    # Default credentials mentioned in the advisory
    payload = {
        "user": "admin",
        "pass": "password",
        "submit": "Login"
    }
    
    try:
        session = requests.Session()
        response = session.post(login_url, data=payload, timeout=10)
        
        # Check if login was successful (heuristic: checking for session cookie or dashboard content)
        if response.status_code == 200 and "dashboard" in response.text.lower():
            return "[+] Vulnerable! Default credentials 'admin:password' worked."
        elif "Incorrect" in response.text or "Invalid" in response.text:
            return "[-] Not vulnerable or credentials changed."
        else:
            return "[?] Uncertain response. Manual verification recommended."
            
    except Exception as e:
        return f"[!] Error connecting to target: {e}"

if __name__ == "__main__":
    target = "http://target-ip:port"  # Replace with actual target
    print(check_default_creds(target))

影响范围

WWBN AVideo <= 25.0

防御指南

临时缓解措施

对于无法立即升级的用户，请务必在部署Docker容器前显式设置`SYSTEM_ADMIN_PASSWORD`环境变量为强密码，并修改docker-compose.yml中的默认数据库凭证。同时，应在防火墙层面限制管理后台的访问来源IP，防止未授权访问。