CVE-2026-7581 MeTube跨域策略配置错误漏洞

漏洞信息

漏洞编号

CVE-2026-7581

漏洞类型

CORS配置错误

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

alexta69 MeTube

漏洞概述

alexta69 MeTube 在 2026.04.10 之前的版本中存在安全漏洞。该漏洞源于组件 CORS Policy 的 `app/main.py` 文件中 `on_prepare` 函数的配置错误，导致实施了过于宽松的跨域策略。攻击者可利用此漏洞，诱导用户进行交互，从而允许不受信任的域名访问受影响实例的数据或功能，破坏系统完整性。

技术细节

该漏洞位于 MeTube 项目的 `app/main.py` 文件中，具体涉及请求预处理阶段的 `on_prepare` 函数。在该函数中，程序未能正确验证 HTTP 请求头中的 `Origin` 字段。由于 CORS 策略配置不当，应用程序可能对任意来源的请求返回允许跨域访问的响应头（如 `Access-Control-Allow-Origin: *` 或直接反射请求的 Origin 且未校验白名单）。攻击者可以构造恶意网页，诱导受害者访问并触发对 MeTube 实例的跨域请求。由于浏览器会认为响应是可信的，恶意网页便能读取响应内容或利用受害者的会话执行敏感操作，导致完整性影响（I:L）。

攻击链分析

STEP 1

1. 侦察

攻击者识别出运行易受攻击版本（<= 2026.04.09）的 MeTube 实例。

STEP 2

2. 诱导

攻击者诱骗已登录 MeTube 的用户访问攻击者控制的恶意网站。

STEP 3

3. 跨域请求

恶意网站向 MeTube 实例发送包含恶意 Origin 的 XHR/Fetch 请求。

STEP 4

4. 策略绕过

MeTube 实例处理请求，并因配置错误返回允许该 Origin 访问的 CORS 头。

STEP 5

5. 数据泄露/操作

受害者浏览器读取响应数据并将其传递给恶意脚本，导致数据泄露或未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target vulnerable MeTube instance
target_url = "http://localhost:8081"
malicious_origin = "http://attacker.com"

headers = {
    "Origin": malicious_origin,
    "User-Agent": "Mozilla/5.0 (PoC Scanner)"
}

print(f"[*] Testing CORS on {target_url}")
print(f"[*] Sending Origin: {malicious_origin}")

try:
    response = requests.get(target_url, headers=headers)
    
    # Check for CORS headers
    acao = response.headers.get("Access-Control-Allow-Origin")
    acac = response.headers.get("Access-Control-Allow-Credentials")
    
    print(f"[+] Response Access-Control-Allow-Origin: {acao}")
    print(f"[+] Response Access-Control-Allow-Credentials: {acac}")
    
    # Determine if vulnerable
    if acao == "*":
        print("[!] VULNERABLE: CORS allows any origin (*).")
    elif acao == malicious_origin:
        if acac == "true":
            print("[!] VULNERABLE: CORS reflects specific origin and allows credentials.")
        else:
            print("[!] POTENTIALLY VULNERABLE: CORS reflects specific origin.")
    else:
        print("[-] Not vulnerable or strict policy in place.")
        
except Exception as e:
    print(f"[-] Error connecting to target: {e}")

影响范围

alexta69 MeTube <= 2026.04.09

防御指南

临时缓解措施

如果无法立即升级，建议通过反向代理（如 Nginx）在应用层面前拦截并重写 CORS 头，确保仅响应受信任的 Origin。同时，限制对 MeTube 服务的网络访问，仅允许通过 VPN 或内网访问，以降低被外部恶意站点利用的风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7581
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7581
3 Details https://www.cvedetails.com/cve/CVE-2026-7581/
4 VulDB https://vuldb.com/cve/CVE-2026-7581
5 Link https://github.com/alexta69/metube/
6 Link https://github.com/alexta69/metube/commit/0072d3488ae5b8d922d3ee87458d829993742a32
7 Link https://github.com/alexta69/metube/pull/949
8 Link https://github.com/alexta69/metube/releases/tag/2026.04.10
9 Link https://github.com/az10b/security-advisories/blob/main/cors_MeTube.md
10 Link https://vuldb.com/submit/801529
11 Link https://vuldb.com/vuln/360528
12 Link https://vuldb.com/vuln/360528/cti