CVE-2026-43880WWBN AVideo 是一个开源视频平台。在 29.0 及以下版本中,`objects/sendEmail.json.php` 接口存在逻辑缺陷。由于该接口被配置为“公共写入操作”,无需身份认证即可访问。攻击者可以利用该漏洞,通过构造特定的 HTTP 请求,迫使目标站点的 SMTP 基础设施向任意收件人发送攻击者撰写的电子邮件。由于这些邮件源自服务器且带有合法的发件人地址,能够通过 SPF/DKIM/DMARC 等安全校验,极易被用于定向网络钓鱼和品牌伪造攻击。
漏洞根源在于 `objects/sendEmail.json.php` 文件对参数的处理不当以及 `objects/functionsSecurity.php` 中的白名单配置。具体而言,`sendEmail.json.php` 根据 `contactForm` 参数的存在与否决定邮件发送逻辑。当未提交 `contactForm=1` 时,脚本允许攻击者通过参数指定收件人(`$sendTo`),并自动使用站点配置的联系邮箱作为发件人信息。关键的安全疏漏在于 `functionsSecurity.php` 第 885 行将该端点标记为“公共写入操作”(public write action),导致系统绕过了常规的身份认证和 CSRF Token 验证机制。尽管发送邮件可能需要通过验证码,但攻击者仍可利用该漏洞滥用受害者的 SMTP 服务信誉,发送高度可信的钓鱼邮件,造成完整性风险。