AVideo /plugin/Live/test.php 服务器端请求伪造漏洞(CVE-2026-33502)
漏洞描述
AVideo 是一个开源的视频分享平台。其插件目录下的 Live/test.php 文件存在服务器端请求伪造漏洞,该漏洞源于该文件在处理用户请求时未对目标URL参数进行充分的验证和过滤,导致未经身份验证的远程攻击者可以构造恶意请求,使AVideo服务器向任意内部或外部URL发起HTTP请求。利用此漏洞,攻击者能够探测并访问本地服务、内部HTTP资源或云服务元数据端点,从而获取敏感信息或进行内网横向移动。
FOFA 语句
暂无
影响范围
AVideo
漏洞详情
暂无
漏洞 POC
暂无
修复建议
暂无