CVE-2026-33649 CVSS 8.1 高危

CVE-2026-33649 WWBN AVideo CSRF权限提升漏洞

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33649

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个开源视频平台，其26.0及以下版本存在严重的跨站请求伪造（CSRF）漏洞。问题源于`plugin/Permissions/setPermission.json.php`接口在处理状态变更时缺乏CSRF令牌验证，且应用显式设置`session.cookie_samesite=None`。未认证的攻击者可诱导管理员访问包含恶意`<img>`标签的页面，利用GET请求在后台静默修改用户组权限，将攻击者提升至接近管理员的权限级别。

技术细节

该漏洞的核心在于`plugin/Permissions/setPermission.json.php`接口设计不当，它使用GET请求来处理修改用户组权限的关键状态变更，且未实施任何CSRF令牌验证。此外，应用程序显式设置`session.cookie_samesite=None`，这导致浏览器的同站策略无法阻止第三方网站发送用户的会话Cookie。攻击者利用这一点，可以构造一个简单的HTML页面，其中包含指向该接口的恶意`<img>`标签。当管理员用户在保持登录会话的情况下访问此攻击者控制的页面时，浏览器会自动解析`<img>`标签并向目标服务器发起GET请求，并附带上管理员的身份Cookie。服务器接收到请求后，误以为是管理员本人的合法操作，从而执行了权限更改。这使得攻击者能够将自己所在的用户组权限提升至接近管理员级别，严重威胁系统安全。

攻击链分析

STEP 1

攻击者构造包含恶意HTML代码的网页，代码中嵌入指向AVideo漏洞端点的GET请求（如利用img标签）。

STEP 2

攻击者通过各种社会工程学手段诱导已登录的管理员访问该恶意网页。

STEP 3

管理员浏览器加载页面时，自动向AVideo服务器发送附带Session Cookie的GET请求。

STEP 4

AVideo服务器接收请求，因缺少CSRF令牌验证，误判为管理员操作并执行权限修改逻辑。

STEP 5

攻击者所在的用户组获得提升的权限，从而获得对系统的近管理员级别控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2026-33649 -->
<!-- Attacker hosts this HTML page and lures an admin to visit it -->
<html>
<body>
    <!-- Silent CSRF attack using img tag -->
    <img src="https://[target-site]/plugin/Permissions/setPermission.json.php?users_groups_id=[ATTACKER_GROUP_ID]&permission_code=[PERMISSION_CODE]" width="0" height="0" border="0">
    <p>If you are an admin, your permissions have been modified.</p>
</body>
</html>

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

建议管理员暂时限制对AVideo管理后台的网络访问，仅允许可信的IP地址访问。同时，可以在Web应用防火墙（WAF）上配置规则，拦截对`plugin/Permissions/setPermission.json.php`的异常外部GET请求，或强制检查Referer头来源，以降低被攻击的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表