漏洞总结:WWBN/AVideo 未授权 Instagram Graph API 代理 漏洞概述 WWBN/AVideo 的 插件中存在一个未授权访问漏洞。该插件暴露了一个名为 的端点,该端点充当 Facebook/Instagram Graph API 的未授权代理。 该端点接受用户控制的参数(包括 access token、container ID 和 Instagram account ID),并直接将其传递给 Graph API。 在处理请求前,没有任何身份验证或授权检查(如 )。 相比之下,同一插件中的其他端点(如 和 )都强制要求正确的授权。 影响范围 受影响版本: <= 26.0 严重程度: Medium (中等) CWE ID: CWE-862 (Missing Authorization - 缺少授权) 具体影响: 任何攻击者都可以利用该 AVideo 服务器作为 Instagram/Facebook Graph API 的代理。结合从 AVI-027 泄露的凭据,攻击者可以在无需对 AVideo 实例进行身份验证的情况下,发布、修改或删除平台 Instagram 账户上的内容。此外,服务器的 IP 地址被用于 API 调用,这可能被用于绕过速率限制或 IP 限制。 修复方案 建议在 文件的顶部添加管理员授权检查,使其与 的授权级别保持一致。 修复代码示例: 此修复将限制该端点仅对管理员用户可用,从而防止未授权的代理滥用。 概念验证 (POC) 代码 1. 发送无认证请求: 2. 服务器响应 (证明端点功能正常): 3. 利用泄露的令牌发布内容: 4. 验证其他端点需要认证:**