AVideo 在 saveDVR.json.php 的 `webSiteRootURL` 参数中存在未认证的 SSRF 漏洞，可与验证绕过串联

攻击者可以利用此 SSRF 漏洞，通过 $REQUEST['webSiteRootURL'] 参数构造恶意 URL，从而访问服务器内部网络资源，读取敏感文件，甚至执行任意代码。由于 fileget_contents() 函数直接使用用户提供的 URL，且未进行任何身份验证、来源验证或 URL 白名单过滤，攻击者可以绕过安全措施，访问未经授权的资源。该漏洞的潜在影响包括数据泄露、系统入侵和拒绝服务攻击。如果服务器运行在具有敏感数据的环境中，例如存储用户凭据或财务信息，则该漏洞的风险将显著增加。

Organizations utilizing the AVideo Live plugin in standalone mode are particularly at risk. This includes deployments where the plugin is used to stream live video content and requires direct access to internal resources for configuration or data storage. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised plugin instance could potentially be used to attack other users on the same server.

• php: Examine access logs for requests to plugin/Live/standAloneFiles/saveDVR.json.php with unusual values in the webSiteRootURL parameter. Look for requests using protocols like file:// or gopher://.

grep 'saveDVR.json.php.*webSiteRootURL=' /var/log/apache2/access.log

• generic web: Use curl to test the endpoint with a crafted webSiteRootURL parameter pointing to an internal resource. Verify that the server attempts to access the resource.

curl 'http://your-avideo-server/plugin/Live/standAloneFiles/saveDVR.json.php?webSiteRootURL=http://localhost/sensitive_data' -s

1. 2026-03-19Disclosure

   disclosure

1. 已保留2026-03-18
2. 发布日期2026-03-19
3. 修改日期2026-03-25
4. EPSS 更新日期2026-03-31

为了缓解 CVE-2026-33351 的风险，建议立即升级 wwbn/avideo 至 26.0 版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，严格限制 webSiteRootURL 参数的输入，只允许来自可信来源的 URL。其次，实施严格的 URL 白名单，只允许访问必要的内部资源。第三，在 Web 应用防火墙 (WAF) 中配置规则，以检测和阻止 SSRF 攻击。最后，监控服务器日志，查找可疑的 URL 请求，并及时采取措施。