HIGHCVE-2026-39370CVSS 7.1

WWBN AVideo 存在允许列表的 downloadURL 媒体扩展绕过 SSRF 保护并启用内部响应外泄的漏洞 (对 CVE-2026-27732 的不完整修复)

Q: 什么是 CVE-2026-39370 — SSRF in WWBN AVideo?

CVE-2026-39370 是 WWBN AVideo 平台 0.0.0–<= 26.0 版本中发现的一个服务器端请求伪造 (SSRF) 漏洞，允许攻击者绕过验证并窃取服务器响应。

Q: 我是否受到 CVE-2026-39370 in WWBN AVideo 的影响?

如果您正在使用 WWBN AVideo 平台 0.0.0 到 26.0 版本，则可能受到此漏洞的影响。请立即升级到 26.1 版本或更高版本。

Q: 我如何修复 CVE-2026-39370 in WWBN AVideo?

最有效的修复方法是升级到 WWBN AVideo 平台 26.1 版本或更高版本。如果无法升级，请实施临时缓解措施，例如加强输入验证和限制对外部资源的访问。

Q: 在哪里可以找到 WWBN AVideo 官方关于 CVE-2026-39370 的公告?

请访问 WWBN AVideo 的官方网站或安全公告页面，查找有关 CVE-2026-39370 的详细信息和修复指南。

平台

php

组件

avideo

修复版本

26.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-39370 是一个服务器端请求伪造 (SSRF) 漏洞，影响 WWBN AVideo 平台。攻击者可以利用此漏洞绕过验证机制，通过构造恶意的 downloadURL 值，导致服务器获取并存储恶意内容。该漏洞影响 AVideo 平台 0.0.0 到 26.0 版本，已于 26.1 版本修复。

影响与攻击场景

该 SSRF 漏洞允许经过身份验证的上传者将 URL 上传功能变成可靠的 SSRF 响应泄露工具。攻击者可以利用此漏洞访问内部资源，例如云元数据服务或数据库，从而获取敏感信息。攻击者还可以利用此漏洞扫描内部网络，或执行其他恶意操作。由于该漏洞允许攻击者控制服务器请求，因此潜在影响范围广泛，可能导致数据泄露、服务中断甚至系统控制。

利用背景

该漏洞已公开披露，且存在潜在的利用风险。目前尚未观察到大规模的利用活动，但由于该漏洞的易利用性，建议尽快采取缓解措施。该漏洞与 CVE-2026-27732 存在关联，表明修复可能不完整。建议持续关注安全社区的动态，及时获取最新的威胁情报。

哪些人处于风险中翻译中…

Organizations using AVideo for video hosting and content management are at risk, particularly those with internal services or sensitive data accessible from the AVideo server. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk, as a compromised user account could be used to exploit the vulnerability.

检测步骤翻译中…

• php: Examine AVideo server access logs for requests to unusual or internal URLs originating from authenticated uploaders.

grep 'downloadURL=[^&]+' /var/log/apache2/access.log | grep 'AVideo'

• php: Check AVideo configuration files for any unusual or overly permissive network settings. • generic web: Monitor AVideo server response headers for unexpected content types or unusual data being served. • generic web: Use a web application firewall (WAF) to block requests containing suspicious URLs or patterns in the downloadURL parameter.

攻击时间线

2026-04-07Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.03% (9% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件avideo

供应商WWBN

影响范围修复版本

<= 26.0 – <= 26.026.0.1

弱点分类 (CWE)

CWE-918

时间线

已保留2026-04-06
发布日期2026-04-07
修改日期2026-04-08
EPSS 更新日期2026-04-15

缓解措施和替代方案

最有效的缓解措施是立即升级到 AVideo 平台 26.1 版本或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，审查并加强 AVideo 平台的输入验证机制，确保 downloadURL 值经过严格的过滤和验证。其次，配置防火墙或代理服务器，限制 AVideo 平台对外部资源的访问。最后，监控 AVideo 平台的日志，及时发现和响应可疑活动。升级后，请验证修复是否有效，例如尝试使用恶意 URL 上传文件，确认是否被阻止。

修复方法

将 AVideo 更新到 26.1 版本或更高版本以缓解 SSRF 漏洞。该更新修复了允许攻击者外泄内部响应的下载 URL 验证中的缺陷。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-39370 — SSRF in WWBN AVideo?