CVE-2026-33764WWBN AVideo 26.0及之前版本存在信息泄露漏洞。由于AI插件未正确验证用户权限,经过认证的攻击者可利用`save.json.php`接口,通过篡改ID参数访问其他用户私有视频的AI生成数据,导致敏感信息泄露。
该漏洞属于典型的IDOR(不安全的直接对象引用)漏洞。漏洞点位于AI插件的`save.json.php`文件中。该文件负责处理AI生成内容的保存和读取。开发人员在编写代码时,仅依据`$_REQUEST['id']`参数来从数据库中检索AI响应对象,而忽略了关键的权限校验步骤,即未验证当前发起请求的用户是否是该AI响应对象所属视频的所有者。利用该漏洞的前提条件是攻击者必须拥有一个合法的账户,并且该账户被分配了使用AI插件的权限。在攻击场景中,攻击者通过遍历ID或预测ID的方式,构造包含受害者视频AI响应ID的HTTP请求。由于服务端缺乏校验,攻击者能够成功获取到受害者私有视频的AI分析结果(如自动生成的标题、描述、关键词、摘要及完整转录文本)。随后,攻击者可以将这些敏感信息应用到自己的视频库中,从而实现了对非授权数据的窃取。