CVE-2026-34613WWBN AVideo是一个开源视频平台。在26.0及之前版本中,objects/pluginSwitch.json.php端点存在跨站请求伪造(CSRF)漏洞。虽然该端点检查管理员会话,但未验证CSRF令牌。此外,由于插件数据库表被列在ignoreTableSecurityCheck()中,绕过了ORM级别的Referer/Origin域验证。结合SameSite=None的会话Cookie设置,攻击者可以诱导管理员访问恶意页面,从而禁用关键安全插件(如LoginControl双因素认证、订阅执行或访问控制插件)。发布时尚无可用补丁。
该漏洞的核心在于CSRF防护机制的缺失以及ORM安全检查的绕过。攻击者利用objects/pluginSwitch.json.php接口功能,该接口允许管理员通过POST请求切换插件状态(启用/禁用)。首先,该接口仅验证了是否存在活跃的管理员Session,完全缺失CSRF Token的校验,导致无法区分请求来源是否可信。其次,AVideo框架的ORM层通常在ObjectYPT::save()方法中进行Referer或Origin头部的域校验以防止CSRF。然而,开发人员将插件表(plugins)显式添加到了ignoreTableSecurityCheck()白名单中。这意味着当操作插件表数据时,这一层防御被主动绕过。最后,由于会话Cookie设置了SameSite=None属性,浏览器不会阻止跨站点请求携带Cookie。攻击者只需构造一个隐藏的HTML表单或AJAX请求指向受影响端点,诱导已登录的管理员点击,即可在后台执行禁用安全插件的操作,进而削弱系统的整体安全性。