CVE-2026-41060WWBN AVideo开源视频平台29.0及以下版本存在严重的SSRF漏洞。由于`isSSRFSafeURL`函数存在同域短路逻辑,仅校验主机名而忽略端口号,导致攻击者可绕过SSRF防护机制。利用此漏洞,攻击者能够访问服务器上的任意端口,并将响应内容保存至Web可访问路径,从而实现全量数据外泄。
该漏洞的根源位于`objects/functions.php`文件中的`isSSRFSafeURL`函数。该函数在第4290至4296行实现了一个同域短路逻辑:当传入URL的主机名与系统配置的`webSiteRootURL`主机名匹配时,函数会直接返回True,从而绕过所有后续的SSRF安全校验机制。核心缺陷在于校验逻辑仅比对主机名,完全忽略了端口号。攻击者可利用此逻辑缺陷,构造包含目标站点合法主机名但指定任意端口号(例如内部服务端口或管理端口)的恶意URL。由于主机名匹配,该请求被视为同域安全请求,AVideo服务器会代为发起请求。随后,服务器的响应内容会被保存到Web可访问的文件路径中,攻击者通过访问该路径即可获取敏感数据,实现对服务器内部端口的探测与数据外泄。