CVE-2026-33716WWBN AVideo是一个开源视频平台。在26.0及以下版本中,其Live插件的`control.json.php`端点存在严重漏洞。该端点未严格校验用户提供的`streamerURL`参数,允许攻击者将其覆盖为恶意服务器地址。通过这种方式,攻击者可重定向令牌验证请求,绕过身份验证机制,从而在未认证的情况下控制平台上的任意直播流,执行断开发布者、启停录制等高危操作。
该漏洞位于`plugin/Live/standAloneFiles/control.json.php`文件中。该接口用于处理直播流的控制指令,并依赖外部请求来验证令牌的有效性。关键问题在于代码直接信任了用户传入的`streamerURL`参数,并将其作为验证请求的目标地址。攻击者可以利用此缺陷,构造包含恶意`streamerURL`的HTTP请求。当AVideo服务器向该恶意地址发起验证时,攻击者控制的服务器只需返回`{"error": false}`,即可欺骗AVideo服务器认为请求已获授权。由于该漏洞无需用户交互且无需预先认证,攻击者可利用此漏洞接管直播流管理权限,导致平台完整性受损。