漏洞概述 CVE-2024-34113 - AVideo平台存在CSRF漏洞,攻击者可通过诱导已登录管理员访问恶意页面,静默启用或禁用任意插件。 影响范围 软件: WWBN/AVideo 受影响版本: ≤ 26.0 CVSS评分: 6.5/10 (中危) CWE-352: 跨站请求伪造 具体影响 漏洞原理 1. 端点仅验证管理员身份,无CSRF令牌验证 2. 表被显式排除在ORM安全检查之外( ) 3. 插件UUID为硬编码常量,跨安装实例一致,且暴露在前端JavaScript中 POC代码 恶意HTML页面(禁用安全插件) 获取目标实例插件UUID 验证利用(curl) 修复方案 在 添加CSRF令牌验证(管理员检查之后): 当前状态: 暂无官方补丁版本(Patched versions: None)