HIGHCVE-2026-27732CVSS 8.1

AVideo 在 aVideoEncoder.json.php 的 downloadURL 中存在经过身份验证的服务器端请求伪造 (Authenticated Server-Side Request Forgery)

Q: 什么是 CVE-2026-27732 — SSRF 在 AVideo Encoder API 中?

CVE-2026-27732 是 AVideo Encoder API 中发现的服务器端请求伪造 (SSRF) 漏洞，允许认证用户访问内部服务。

Q: 我是否受到 CVE-2026-27732 在 AVideo Encoder API 中影响?

如果您正在使用 AVideo 版本小于等于 21.0.0，则可能受到此漏洞的影响。

Q: 我如何修复 CVE-2026-27732 在 AVideo Encoder API 中?

建议立即升级到 AVideo 22.0 版本或更高版本。

Q: CVE-2026-27732 是否正在被积极利用?

目前尚未观察到大规模的利用活动，但建议尽快采取缓解措施。

Q: 在哪里可以找到 AVideo 官方关于 CVE-2026-27732 的公告?

请访问 AVideo 官方网站或安全公告页面，查找有关 CVE-2026-27732 的详细信息。

平台

php

组件

wwbn/avideo

修复版本

22.0.1

21.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-27732 是 AVideo Encoder API 中的一个认证后的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许认证用户触发服务器端请求到任意 URL，包括内部网络端点，可能导致敏感信息泄露。该漏洞影响 AVideo 版本小于等于 21.0.0。已发布修复补丁，建议升级到 22.0 版本。

影响与攻击场景

攻击者可以利用此 SSRF 漏洞与内部服务进行交互，并检索敏感数据。例如，攻击者可以扫描内部网络，访问未公开的 API，或者读取内部数据库中的数据。由于该漏洞需要认证，因此攻击者需要先获得 AVideo 系统的有效凭据。如果内部服务存在其他漏洞，SSRF 漏洞可以作为跳板，进一步扩大攻击范围。该漏洞的潜在影响包括数据泄露、权限提升以及对内部系统的破坏。

利用背景

该漏洞已于 2026 年 2 月 25 日公开披露。目前尚未观察到大规模的利用活动，但由于 SSRF 漏洞的潜在影响，建议尽快采取缓解措施。该漏洞的 CVSS 评分为 8.1（高），表明其具有较高的风险。建议关注 CISA KEV 目录，以获取最新的安全信息。

哪些人处于风险中翻译中…

Organizations utilizing AVideo versions prior to 22.0, particularly those with internal services accessible via the network, are at risk. Shared hosting environments where multiple users share the same AVideo instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit the SSRF vulnerability.

检测步骤翻译中…

• php: Examine access logs for requests to aVideoEncoder.json.php with unusual or unexpected downloadURL parameters. Look for URLs pointing to internal IP addresses or non-standard ports.

grep 'aVideoEncoder.json.php' access.log | grep 'downloadURL='

• generic web: Use curl to test the endpoint with a known internal URL and verify that the request is blocked.

curl -v 'http://<avideo_server>/aVideoEncoder.json.php?downloadURL=http://169.254.169.254/mgmt/inventory'

• generic web: Check response headers for unexpected content types or error messages indicating an internal server error when attempting an SSRF request.

攻击时间线

2026-02-25Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.03% (9% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响total

受影响的软件

组件wwbn/avideo

供应商osv

影响范围修复版本

< 22.0 – < 22.022.0.1

21.0.021.0.1

弱点分类 (CWE)

CWE-918

时间线

已保留2026-02-23
发布日期2026-02-25
EPSS 更新日期2026-03-23

披露后-1天发布补丁

缓解措施和替代方案

为了缓解 CVE-2026-27732 的影响，建议立即升级到 AVideo 22.0 版本或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制 aVideoEncoder.json.php API 端点的访问权限，只允许来自受信任来源的请求。实施严格的输入验证，确保 downloadURL 参数只接受预期的 URL 格式。配置 Web 应用防火墙 (WAF) 或代理服务器，以检测和阻止恶意 SSRF 请求。监控 AVideo 系统日志，查找可疑的 SSRF 活动。

修复方法

将 AVideo 升级到 22.0 或更高版本。此版本包含 SSRF 漏洞的修复程序。可以通过管理面板进行更新，或者从官方网站下载最新版本的软件并按照升级说明进行操作。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-27732 — SSRF 在 AVideo Encoder API 中?