CVE-2026-33512WWBN AVideo是一个开源视频平台,在26.0及以下版本中存在严重的安全漏洞。该平台的API插件在没有身份验证的情况下暴露了`decryptString`操作,允许未经授权的攻击者提交密文并获取明文。由于系统会在公开接口(如`view/url2Embed.json.php`)中签发密文,攻击者可利用此漏洞解密受保护的令牌和元数据,导致敏感信息泄露。该漏洞CVSS评分为7.5,属于高危漏洞。
该漏洞的根本原因在于WWBN AVideo的API插件未对`decryptString`接口实施访问控制策略(PR:N)。正常逻辑下,解密操作应属于特权操作,但受影响版本允许匿名用户调用此接口。攻击者首先访问系统公开的JSON接口(例如`view/url2Embed.json.php`),捕获响应中包含的加密字符串。随后,攻击者构造请求将这些密文作为参数发送给`decryptString`接口。服务端接收到请求后,未验证请求来源的合法性,直接执行解密算法并将明文返回给攻击者。通过这种方式,攻击者可以还原系统内部的保护机制,获取用于鉴权的Token或其他敏感元数据,进而可能接管用户会话或窃取核心数据。