MEDIUMCVE-2026-34732CVSS 5.3

CVE-2026-34732: 未授权数据泄露在 wwbn/avideo

Q: 什么是 CVE-2026-34732 — 未授权数据泄露在 wwbn/avideo?

CVE-2026-34732 描述了 wwbn/avideo 中 `CreatePlugin` 模板的未授权访问漏洞，允许攻击者未经身份验证访问敏感数据。

Q: 我是否受到 CVE-2026-34732 在 wwbn/avideo 中的影响?

如果您正在使用 wwbn/avideo 版本小于或等于 26.0，则可能受到此漏洞的影响。

Q: 我如何修复 CVE-2026-34732 在 wwbn/avideo 中?

目前没有提供修复版本，建议采取缓解措施，例如禁用受影响的插件和实施 WAF 规则。

Q: CVE-2026-34732 是否正在被积极利用?

目前尚无已知的公开利用程序，但由于漏洞的严重性，存在被利用的风险。

Q: 在哪里可以找到 wwbn/avideo 官方关于 CVE-2026-34732 的公告?

请访问 wwbn/avideo 的官方网站或安全公告页面，以获取有关此漏洞的最新信息。

平台

php

组件

wwbn/avideo

修复版本

26.0.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-34732 描述了 wwbn/avideo 中 CreatePlugin 模板的未授权访问漏洞。该漏洞允许攻击者未经身份验证访问敏感数据，包括用户个人身份信息 (PII)、支付交易日志、IP 地址和内部系统记录。该漏洞影响 wwbn/avideo 版本小于或等于 26.0 的系统。建议尽快更新到修复版本或实施缓解措施。

影响与攻击场景

该漏洞的影响非常严重，因为它允许攻击者未经身份验证直接访问敏感数据。攻击者可以利用此漏洞提取大量用户数据，包括个人身份信息、财务信息和内部系统信息。这些数据可以被用于身份盗窃、欺诈或其他恶意目的。由于 list.json.php 模板缺乏身份验证检查，所有使用 CreatePlugin 代码生成器的插件都受到影响，这意味着存在 21 个未授权的数据列表端点。攻击者可以利用这些端点来获取对平台的广泛访问权限，并可能导致进一步的攻击。

利用背景

该漏洞已公开披露，目前尚无已知的公开利用程序 (PoC)。CISA 尚未将其添加到 KEV 目录。由于该漏洞允许未经身份验证的数据泄露，因此存在中等概率被利用。建议密切关注安全社区的动态，并及时采取缓解措施。

哪些人处于风险中翻译中…

Organizations using wwbn/avideo versions 26.0 and earlier, particularly those with publicly accessible instances or those handling sensitive user data, are at significant risk. Shared hosting environments where multiple users share the same instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to access data belonging to other users.

检测步骤翻译中…

• php: Examine list.json.php for the absence of authentication checks within the CreatePlugin template. Use grep to search for the template code without authentication logic.

grep -r 'CreatePlugin' /path/to/avideo/list.json.php | grep -v 'authentication'

• generic web: Monitor access logs for requests to list.json.php originating from unexpected or unauthorized IP addresses. Look for patterns of repeated requests to the same endpoint.

 grep "/list.json.php" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c

• generic web: Check response headers for unusual or unexpected content that might indicate data leakage. Use curl to inspect the headers.

curl -I https://your-avideo-instance/list.json.php

攻击时间线

2026-04-01Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.05% (17% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件wwbn/avideo

供应商osv

影响范围修复版本

<= 26.0 – <= 26.026.0.1

26.026.0.1

弱点分类 (CWE)

CWE-306

时间线

已保留2026-03-30
发布日期2026-04-01
EPSS 更新日期2026-04-08

未修复 — 披露已53天

缓解措施和替代方案

由于目前没有提供修复版本，建议采取以下缓解措施来降低风险。首先，审查并禁用所有使用 CreatePlugin 代码生成器的插件，直到发布安全补丁。其次，实施 Web 应用防火墙 (WAF) 或代理服务器规则，以阻止对 list.json.php 端点的未经授权的访问。第三，仔细检查 list.json.php 文件的访问权限，确保只有授权用户才能访问。最后，监控系统日志，以检测任何可疑活动。在实施缓解措施后，验证配置是否正确，并确认漏洞已成功缓解。

修复方法

升级 AVideo 到 26.0 以上的版本，如果可用。否则，审查并应用供应商提供的安全补丁，以修复 template list.json.php 以及使用 CreatePlugin 代码的插件中的身份验证缺失问题。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-34732 — 未授权数据泄露在 wwbn/avideo?

CVE-2026-34732 描述了 wwbn/avideo 中 CreatePlugin 模板的未授权访问漏洞，允许攻击者未经身份验证访问敏感数据。

我是否受到 CVE-2026-34732 在 wwbn/avideo 中的影响?