CVE Report: Cross-Origin Request Forgery via Permissive CORS Policy in alexta69/MeTube 漏洞概述 产品名称: MeTube (alexta69/metube) 受影响版本: <= 2026.04.09 (所有版本) 漏洞类型: CWE-942: 使用不受信任域名的跨域策略 (Permissive Cross-domain Policy with Untrusted Domains) 攻击向量: 网络 (远程) 认证要求: 无 CVSS 3.1 评分: 8.1 (High) 描述: MeTube 是一个自托管的 YouTube-dl 前端。该应用无条件地反射请求中的 头到 响应头中,且未进行任何验证或白名单检查。结合 API 端点完全缺乏认证,攻击者可以诱导受害者在 MeTube 实例上执行任意跨域操作。 影响范围 攻击者可以通过诱骗受害者访问恶意网页,静默执行以下操作: 1. 发起任意下载: 强制服务器下载任意 URL,消耗磁盘空间和带宽。 2. 覆盖 Cookie: 上传攻击者控制的 ,劫持视频平台的认证会话。 3. 删除下载: 擦除受害者的下载队列和历史记录。 4. 创建订阅: 将服务器订阅到任意频道,导致重复下载。 5. 枚举下载历史: 读取当前和过去的下载记录。 6. 实现远程代码执行 (RCE): 当设置 环境变量时,攻击者可注入 yt-dlp 后处理器执行任意 OS 命令。 修复方案 1. 移除 Origin 反射: 替换为显式白名单或同源策略。 2. 替换 Socket.IO 通配符 CORS: 使用相同的白名单配置。 3. 增加认证**: 考虑为暴露在 localhost 之外的环境添加可选的 API 密钥认证。 概念验证 (POC) 代码 将以下代码保存为 HTML 文件并在浏览器中打开(需 MeTube 运行在 ):