CVE-2026-34245WWBN AVideo是一个开源视频平台。在26.0及以下版本中,系统存在权限验证逻辑漏洞。任何拥有流媒体权限的认证用户均可利用`Playlists_schedules`模块的接口,创建或修改指向任意播放列表的广播计划,从而绕过所有权校验机制。该漏洞允许攻击者在计划触发时,以受害播放列表所有者的身份执行重播操作,进而劫持内容并中断正常流媒体服务。
该漏洞根源于WWBN AVideo在`plugin/PlayLists/View/Playlists_schedules/add.json.php`接口处的访问控制逻辑缺失。系统在处理广播计划的创建与修改请求时,仅校验了用户是否具备基础的“流媒体权限”,而未对请求参数中的`playlists_id`进行所有权校验。这意味着,拥有普通流媒体权限的攻击者可以通过遍历ID或猜测ID,将广播目标指向其他用户的私有播放列表。由于定时任务机制在执行重播时,继承了播放列表所有者的系统身份,而非任务发起者的身份,导致攻击者能够利用这一逻辑缺陷,在特定时间点以受害者身份恶意重播内容。这种越权访问不仅破坏了数据的完整性,还可能导致敏感信息的非授权泄露及服务可用性下降。