CVE-2026-33507 CVSS 8.8 高危

CVE-2026-33507: AVideo CSRF致远程代码执行

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33507

漏洞类型

CSRF, 远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个开源视频平台。在26.0及以下版本中，`objects/pluginImport.json.php`端点允许管理员上传包含PHP代码的插件ZIP文件，但缺乏CSRF保护。由于应用在HTTPS连接下显式设置`session.cookie_samesite = 'None'`，攻击者可诱导已认证管理员访问恶意页面，从而静默上传包含Webshell的恶意插件，实现远程代码执行。

技术细节

该漏洞源于CSRF（跨站请求伪造）防护缺失与不安全的Cookie配置。在受影响的WWBN AVideo版本中，`objects/pluginImport.json.php`接口允许管理员上传包含PHP代码的插件ZIP包，但未实施CSRF Token验证。同时，应用配置`session.cookie_samesite = 'None'`导致浏览器在跨站请求中会携带Session Cookie。攻击者可构造恶意网页，诱导已登录管理员访问。该网页利用CSRF机制自动向目标服务器发送包含恶意Webshell的ZIP文件上传请求。服务器端误认为是管理员操作，解压并安装插件，从而将恶意PHP文件写入Web目录。攻击者随后可访问该文件，在服务器上执行任意系统命令，完全控制服务器。

攻击链分析

STEP 1

构造恶意页面

攻击者创建包含CSRF请求代码的HTML页面，请求指向AVideo的插件上传接口，并附带包含Webshell的恶意ZIP文件。

STEP 2

社会工程学诱导

攻击者诱骗已登录AVideo的管理员访问该恶意页面。

STEP 3

CSRF攻击触发

管理员浏览器在加载页面时，自动携带Session Cookie向服务器发送插件上传请求。

STEP 4

插件安装与RCE

服务器验证Session有效，解压并安装恶意插件，将Webshell写入Web目录，攻击者即可通过Webshell执行任意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2026-33507 -->
<html>
  <body>
    <script>
      function submitRequest()
      {
        var xhr = new XMLHttpRequest();
        xhr.open("POST", "https://<TARGET_IP>/objects/pluginImport.json.php", true);
        xhr.setRequestHeader("Accept", "application/json");
        // Construct multipart/form-data with a malicious ZIP plugin containing PHP webshell
        var formData = new FormData();
        var blob = new Blob(["PK..."], {type: "application/zip"}); // Placeholder for ZIP content
        formData.append("files", blob, "exploit.zip");
        xhr.send(formData);
      }
      window.onload = submitRequest;
    </script>
  </body>
</html>

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

建议管理员立即检查并升级至修复版本。在升级前，应严格限制插件上传接口的访问，仅允许受信任的IP访问，并加强对管理员的钓鱼攻击防范意识，避免点击不明链接。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表