CVE-2026-40928 CVSS 5.4 中危

CVE-2026-40928 AVideo跨站请求伪造漏洞

披露日期: 2026-04-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40928

漏洞类型

CSRF

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo 29.0及之前版本存在跨站请求伪造（CSRF）漏洞。受影响的系统未对`objects/`目录下的多个JSON端点实施反CSRF令牌验证或来源检查。攻击者可诱导已登录的受害者访问恶意页面，从而在受害者不知情的情况下执行操作，包括对评论进行点赞/踩、以受害者身份发表评论或在有权限的情况下删除类别资产。

技术细节

该漏洞的核心原因在于WWBN AVideo在处理状态变更请求时缺乏CSRF防护机制。受影响的端点（如`comments_like.json.php`、`commentAddNew.json.php`等）通过`$_REQUEST`或`$_GET`直接接收参数并持久化更改，未校验`Origin`或`Referer`请求头，也未使用CSRF令牌。由于这些操作可以通过GET请求触发，攻击者可以构造包含`<img src="...">`标签的恶意HTML页面。当已登录的受害者的浏览器加载该页面时，会自动附带有效的Session Cookie向目标服务器发送请求。服务器验证会话有效后，执行攻击者指定的操作，导致非预期的状态更改。

攻击链分析

STEP 1

准备攻击

攻击者分析AVideo平台端点，发现缺乏CSRF防护，并构造包含恶意请求的HTML页面（如利用img标签或自动提交表单）。

STEP 2

诱导访问

攻击者通过社会工程学手段（如钓鱼邮件）诱导已登录AVideo平台的受害者点击或访问该恶意页面。

STEP 3

发送请求

受害者的浏览器在解析页面时，自动向AVideo服务器发送附带Session Cookie的HTTP请求。

STEP 4

执行操作

服务器接收请求，验证Session有效，误认为是用户本人操作，执行点赞、发表评论或删除资产等操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC: Like a comment via CSRF -->
<!-- Replace TARGET_URL and COMMENTS_ID with actual values -->
<img src="http://TARGET_URL/objects/comments_like.json.php?comments_id=1&like=1" style="display:none;">

<!-- PoC: Add a comment via CSRF -->
<!-- Use a form for POST requests if GET is not supported, but description says GET works -->
<form action="http://TARGET_URL/objects/commentAddNew.json.php" method="GET">
  <input type="hidden" name="video_id" value="1">
  <input type="hidden" name="comment" value="Hacked by CSRF">
</form>
<script>document.forms[0].submit();</script>

影响范围

WWBN AVideo <= 29.0

防御指南

临时缓解措施

建议用户在非必要时退出登录，避免点击不明链接。管理员应尽快应用官方补丁；若无法立即升级，可暂时通过Web应用防火墙（WAF）规则拦截对敏感JSON端点的未经验证的外部请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表