CVE-2026-35450WWBN AVideo是一款开源视频平台。在26.0及更早版本中,`plugin/API/check.ffmpeg.json.php`端点存在安全缺陷。该端点允许未经身份验证的攻击者探测FFmpeg远程服务器配置并获取连接状态信息。虽然同级的其他管理端点都需要管理员权限,但该特定端点缺乏权限检查,导致敏感服务状态信息泄露。
该漏洞的核心在于权限校验逻辑的不一致。WWBN AVideo中处理FFmpeg管理功能的多个端点(如`kill.ffmpeg.json.php`、`list.ffmpeg.json.php`等)均通过调用`User::isAdmin()`方法来确保请求者具有管理员权限。然而,`plugin/API/check.ffmpeg.json.php`这一特定端点在实现时遗漏了这一关键的安全检查。当攻击者构造指向该路径的网络请求时,后端脚本直接执行探测逻辑,尝试连接配置的远程FFmpeg服务器,并将连接状态、配置参数等敏感信息直接返回给请求者。由于缺乏身份验证(PR:N)且无需用户交互(UI:N),任何能够访问目标网络的攻击者均可利用此漏洞探测服务器后端服务的部署情况,为进一步的攻击提供信息支持。