漏洞总结:未授权信息泄露 (CVE-2026-40908) 漏洞概述 漏洞名称:Unauthenticated Information Disclosure via git.json.php (通过 git.json.php 的未授权信息泄露) CVE ID:CVE-2026-40908 CVSS 评分:5.3 / 10 (中等) 漏洞成因:AVideo 项目根目录下的 脚本存在未授权访问漏洞。该脚本直接执行 命令并将结果以 JSON 格式返回给任何未认证的用户。 泄露内容: 1. 版本指纹:精确的部署版本(Commit Hash),可用于交叉引用已知 CVE。 2. 开发者 PII 泄露:作者姓名和邮箱地址(可能包含内部企业邮箱)。 3. 提交信息情报:可能包含内部 bug 追踪器引用、安全修复状态或基础设施细节。 影响范围 受影响软件:WWBN / AVideo 受影响版本:<= 29.0 攻击向量:网络 (Network) 攻击复杂度:低 (Low) 影响: 攻击者可确定精确部署版本并识别适用的已知 CVE。 开发者邮箱泄露,可能导致针对项目维护者的钓鱼或社会工程学攻击。 提交信息可能泄露内部项目细节或安全状态。 修复方案 推荐修复:删除 文件。该文件仅作为开发/调试工件存在,无用户面向用途。 替代方案:如果管理员需要查看版本信息,应将其置于认证之后(示例代码见下文)。 POC / 利用代码 请求示例: 验证响应示例: 安全加固代码示例(需认证):**