MEDIUMCVE-2026-35450CVSS 5.3

CVE-2026-35450: 信息泄露在 wwbn/avideo ≤26.0

Q: 什么是 CVE-2026-35450 — 信息泄露在 wwbn/avideo?

CVE-2026-35450 是 wwbn/avideo 版本小于等于 26.0 中发现的一个信息泄露漏洞，允许未经身份验证的攻击者探测 FFmpeg 远程服务器配置。

Q: 我是否受到 CVE-2026-35450 在 wwbn/avideo 的影响?

如果您运行 wwbn/avideo 版本小于等于 26.0，则可能受到此漏洞的影响。

Q: 如何修复 CVE-2026-35450 在 wwbn/avideo?

建议升级 wwbn/avideo 至 26.1 或更高版本。

Q: CVE-2026-35450 是否正在被积极利用?

目前尚未公开发现针对 CVE-2026-35450 的公开利用代码，但已添加到 CISA KEV 目录，表明存在被利用的风险。

Q: 在哪里可以找到 wwbn/avideo 官方针对 CVE-2026-35450 的公告?

请查阅 wwbn/avideo 官方安全公告，获取更多信息。

平台

php

组件

wwbn/avideo

修复版本

26.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-35450 是 wwbn/avideo 中发现的一个信息泄露漏洞。该漏洞允许未经身份验证的攻击者探测 FFmpeg 远程服务器的配置信息，从而可能导致敏感信息泄露。受影响的版本包括 wwbn/avideo 版本小于等于 26.0。已发布安全更新，建议升级至 26.1 版本以修复此问题。

影响与攻击场景

该漏洞的关键在于 plugin/API/check.ffmpeg.json.php 接口的未授权访问。攻击者无需任何身份验证即可通过该接口获取 FFmpeg 远程服务器的连接状态信息。虽然该漏洞本身可能不会导致直接的代码执行，但泄露的配置信息可能被攻击者用于进一步的攻击尝试，例如尝试利用 FFmpeg 自身的漏洞，或者推断系统内部结构。如果 FFmpeg 配置包含敏感信息，例如密码或 API 密钥，则泄露的风险将显著增加。此漏洞的潜在影响范围取决于 FFmpeg 配置的敏感程度以及攻击者利用泄露信息的意图。

利用背景

目前尚未公开发现针对 CVE-2026-35450 的公开利用代码。该漏洞已添加到 CISA KEV 目录，表明其具有中等概率被利用。由于该漏洞允许攻击者获取敏感配置信息，因此存在被恶意利用的风险。建议密切关注安全社区的动态，并及时采取缓解措施。

哪些人处于风险中翻译中…

Organizations utilizing wwbn/avideo in environments where FFmpeg is used for media processing are at risk. This is particularly relevant for deployments with limited network segmentation or where the web server is exposed to the public internet. Shared hosting environments using wwbn/avideo are also at increased risk due to the potential for cross-tenant access.

检测步骤翻译中…

• php: Examine web server access logs for requests to plugin/API/check.ffmpeg.json.php originating from unexpected IP addresses.

grep "/plugin/API/check.ffmpeg.json.php" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr

• generic web: Use curl to test the endpoint's accessibility without authentication.

curl http://<your_avideo_server>/plugin/API/check.ffmpeg.json.php

• php: Review the plugin/API/ directory for other endpoints lacking authentication checks, particularly those related to system configuration or management.

攻击时间线

2026-04-04Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.04% (12% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件wwbn/avideo

供应商osv

影响范围修复版本

<= 26.0 – <= 26.026.0.1

26.026.0.1

弱点分类 (CWE)

CWE-306

时间线

已保留2026-04-02
发布日期2026-04-04
修改日期2026-04-07
EPSS 更新日期2026-04-14

缓解措施和替代方案

最有效的缓解措施是立即升级 wwbn/avideo 至 26.1 或更高版本。如果升级会造成系统中断，可以考虑以下临时缓解措施：首先，限制对 plugin/API/check.ffmpeg.json.php 接口的访问，只允许授权用户访问。可以使用防火墙规则或 Web 应用防火墙 (WAF) 来实现此目的。其次，审查 FFmpeg 远程服务器的配置，确保不包含任何敏感信息。如果配置中包含敏感信息，请立即进行修改。最后，监控系统日志，查找任何异常活动，例如来自未知 IP 地址的对 plugin/API/check.ffmpeg.json.php 接口的访问尝试。升级后，确认漏洞已修复，可以通过访问 plugin/API/check.ffmpeg.json.php 接口并验证返回结果是否受到限制。

修复方法

升级 AVideo 插件至 26.1 版本或更高版本以缓解漏洞。此更新修复了 check.ffmpeg.json.php 端点上的身份验证缺失问题，从而避免了未经授权的服务器 (FFmpeg) 配置信息泄露。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-35450 — 信息泄露在 wwbn/avideo?