CVE-2026-33685WWBN AVideo是一个广泛使用的开源视频平台。在26.0及更早版本中,系统存在严重的安全配置缺陷。攻击者无需经过任何身份认证,即可直接访问特定的API端点`plugin/AD_Server/reports.json.php`。该漏洞导致未授权用户能够窃取敏感的广告分析数据,包括视频标题、用户频道名称、用户ID、广告活动名称以及详细的展示与点击统计。虽然相关功能的HTML和CSV接口已受保护,但JSON接口被遗漏。
该漏洞的根源在于WWBN AVideo后端代码中权限验证的不一致性。具体而言,`plugin/AD_Server/reports.json.php`文件在处理数据请求时,完全缺少了关键的身份验证和授权检查逻辑,即未调用`User::isAdmin()`函数来验证管理员权限。这与同目录下受保护的`reports.php`和`getCSV.php`形成了鲜明的对比。攻击者仅需向目标服务器发送一个简单的HTTP GET请求至该端点,服务器便会无条件地将数据库中的广告活动统计信息以JSON格式返回。这种逻辑缺陷使得攻击者能够轻易遍历并获取系统内的敏感运营数据,而无需利用任何复杂的绕过技术或登录凭证,构成了严重的信息泄露风险。