CVE-2026-33502 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WWBN AVideo 的 `test.php` 接口**缺少访问控制**。 💥 **后果**：攻击者可发起 **SSRF（服务端请求伪造）**，利用服务器身份访问内网资源。

🔍 **CWE**：CWE-918（SSRF 弱点）。 📍 **缺陷点**：`test.php` 端点未限制外部输入或目标地址，导致服务器被诱导请求任意 URL。

📦 **产品**：WWBN AVideo（PHP 视频建站系统）。 📅 **版本**：**26.0 及之前版本**均受影响。

🕵️ **权限**：无需认证（PR:N）。 📊 **数据**：可读取**内网服务响应**（C:H），可能泄露敏感配置、内部拓扑或进一步横向移动。

🚪 **门槛**：**极低**。 🔑 **条件**：无需登录（PR:N），无需用户交互（UI:N），攻击复杂度低（AC:L）。

📜 **Exp/PoC**：官方安全公告已发布，但漏洞数据中 **PoCs 列表为空**，暂无公开现成自动化脚本。

🔎 **自查**：扫描目标是否存在 `/test.php` 路径。 🛠️ **验证**：构造恶意 URL 请求该端点，观察服务器是否发起外部/内网连接。

🛡️ **补丁**：官方已修复。 🔗 **参考**：GitHub Commit `1e6cf03` 及 GHSA 安全公告已提供修复方案。

🚧 **临时规避**：若无法升级，**禁用或移除** `test.php` 文件。 🚫 **网络层**：在 WAF/防火墙层拦截对 `test.php` 的异常出站请求。

⚡ **优先级**：**高**。 📈 **理由**：CVSS 评分高（S:C, C:H），利用简单且无需认证，建议**立即升级**至修复版本。