CVE-2026-40908WWBN AVideo是一款开源视频平台。在29.0及更早版本中,Web根目录下的`git.json.php`文件会对未认证用户执行`git log -1`命令,并将完整输出以JSON格式返回。该漏洞导致部署的确切提交哈希、开发者姓名、邮箱地址(PII)以及包含内部系统引用的提交消息等信息泄露。攻击者可利用此信息进行版本指纹识别。目前尚无已知补丁版本。
该漏洞的根本原因在于WWBN AVideo Web根目录下的`git.json.php`文件缺乏必要的访问控制机制。当未认证的用户直接请求该文件时,服务器端脚本会执行系统命令`git log -1`。该命令旨在获取最后一次提交的详细信息,包括唯一的提交哈希值、作者姓名、电子邮箱地址、提交时间及完整的提交说明。由于该接口未对请求者进行身份验证,任何能够访问Web服务器的攻击者均可直接获取这些敏感数据。泄露的提交哈希使得攻击者能够精确识别目标系统运行的代码版本,进而与公开的漏洞数据库或历史提交记录进行比对,判断是否存在未修复的已知漏洞。此外,开发者邮箱和内部系统名称等PII信息的泄露,为后续的社会工程学攻击或针对性的供应链渗透提供了便利。此漏洞利用门槛低,无需用户交互即可通过网络远程触发。