CVE-2026-33761WWBN AVideo是一个开源视频平台。在26.0及以下版本中,其Scheduler插件存在安全漏洞。由于三个`list.json.php`端点未进行身份验证检查,未经身份验证的攻击者可以发送简单的GET请求,获取所有计划任务、内部回调URL、管理员撰写的邮件消息以及用户邮件映射信息。该漏洞源于同目录下其他端点需要管理员权限,而这三个端点存在权限缺失,导致敏感信息泄露。
该漏洞具体位于WWBN AVideo的Scheduler插件目录中。在受影响的版本(26.0及以下)中,开发者对`add.json.php`、`delete.json.php`和`index.php`等端点实施了`User::isAdmin()`权限检查,但却遗漏了`list.json.php`相关的三个端点。这种权限控制的不一致性构成了严重的逻辑缺陷。攻击者无需任何用户凭证,即可构造恶意的HTTP GET请求指向这些特定的列表接口。服务器端在接收到请求后,由于缺乏认证中间件的拦截,直接返回敏感的JSON格式数据。泄露的信息包括但不限于系统内部的计划任务列表、回调URL及其参数、以及管理员预设的邮件内容和目标用户列表。攻击者利用这些信息可为进一步的渗透攻击提供数据支持。官方已在提交83390ab1fa8dca2de3f8fa76116a126428405431中通过添加缺失的认证逻辑修复了此问题。