MEDIUMCVE-2026-33766

AVideo 存在图像下载端点中 HTTP 重定向导致的 SSRF 保护绕过

Q: CVE-2026-33766 是什么 — wwbn/avideo 中的 SSRF？

SSRF (Server-Side Request Forgery) 是一种攻击，攻击者欺骗服务器执行对其不应直接访问的资源的请求。

Q: wwbn/avideo 中的 CVE-2026-33766 是否会影响我？

如果您使用 AVideo，此漏洞可能允许攻击者访问您网络中的内部资源，从而可能破坏您网站和数据的安全性。

Q: 如何修复 wwbn/avideo 中的 CVE-2026-33766？

禁用使用 `url_get_contents()` 的功能是一个临时解决方案。

Q: CVE-2026-33766 是否正在被积极利用？

建议监控 AVideo 安全更新以获取有关官方修复程序的的信息。

Q: 在哪里可以找到 wwbn/avideo 关于 CVE-2026-33766 的官方安全通告？

如果您怀疑您的网站已被破坏，您应该立即联系安全专业人员，以帮助您调查和解决问题。

平台

php

组件

wwbn/avideo

修复版本

26.0.1

14.3.1

26.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-33766 是 wwbn/avideo 组件中的一个服务器端请求伪造 (SSRF) 漏洞。该漏洞允许攻击者通过HTTP重定向绕过安全验证，从而访问内部网络资源。该漏洞影响 wwbn/avideo 版本小于等于 26.0 的系统。目前尚未发布官方补丁。

影响与攻击场景

AVideo 中的 CVE-2026-33766 允许攻击者执行服务器端请求伪造 (SSRF) 攻击。isSSRFSafeURL() 组件尝试通过验证 URL 的 IP 地址来防止 SSRF，但当 urlgetcontents() 跟踪 HTTP 重定向后，它不会重新验证目标 URL。这意味着攻击者可以欺骗系统向内部资源发送请求，即使初始 URL 看起来是安全的。重定向后缺乏重新验证允许绕过已实现的保护，从而可能导致内部网络中的敏感信息泄露或未经授权的操作。此漏洞的严重性在于其可能破坏底层基础设施。

利用背景

攻击者可以通过设置一个恶意 Web 服务器来利用此漏洞，该服务器对初始请求做出响应，其中包含指向 AVideo 网络中内部资源的 HTTP 重定向。一看来无害的初始请求会被重定向到内部资源，然后 urlgetcontents() 在没有适当验证的情况下访问该资源。这使攻击者能够读取内部文件、与内部服务交互，或根据执行漏洞代码的用户权限，甚至在服务器上执行命令。利用的复杂性取决于攻击者控制恶意 Web 服务器和 AVideo 网络配置的能力。

哪些人处于风险中翻译中…

Organizations utilizing wwbn/avideo versions 26.0 and earlier, particularly those with exposed web applications or internal services accessible via HTTP, are at risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the SSRF vulnerability to access resources belonging to other users.

检测步骤翻译中…

• php: Examine access logs for requests containing unusual redirects or targeting internal IP addresses. Use grep to search for patterns like Location: http://internal-ip/. • generic web: Use curl to test for redirect vulnerabilities: curl -v <target_url> | grep Location • generic web: Monitor response headers for unexpected redirects. Look for Location headers pointing to internal resources. • php: Review the objects/functions.php file for the vulnerable isSSRFSafeURL() and urlgetcontents() functions. Check for modifications that might bypass the validation logic.

攻击时间线

2026-03-26Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

EPSS

0.03% (10% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件wwbn/avideo

供应商osv

影响范围修复版本

<= 26.0 – <= 26.026.0.1

14.314.3.1

26.026.0.1

弱点分类 (CWE)

CWE-918

时间线

已保留2026-03-23
发布日期2026-03-26
修改日期2026-04-08
EPSS 更新日期2026-04-04

未修复 — 披露已59天

缓解措施和替代方案

目前，AVideo 开发人员没有提供官方修复程序。最有效的即时缓解措施是暂时禁用使用 urlgetcontents() 的功能或依赖于远程内容获取的所有功能。作为一项长期解决方案，强烈建议在可用时将 AVideo 更新到补丁版本。此外，可以在代码中添加额外的验证，以便在每次 HTTP 重定向后重新验证目标 URL，以确保最终请求指向安全资源。监控 AVideo 安全更新并及时应用安全补丁至关重要。

修复方法

升级 AVideo 到 26.0 之后的版本。该漏洞在 commit 8b7e9dad359d5fac69e0cbbb370250e0b284bc12 中修复。这将避免通过 HTTP 重定向而遗漏 SSRF 保护。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-33766 是什么 — wwbn/avideo 中的 SSRF？