CVE-2026-41064 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WWBN AVideo 存在**操作系统命令注入**漏洞。 💥 **后果**：攻击者可执行**任意系统命令**，导致服务器被完全控制。

🔍 **CWE**：CWE-78 (OS命令注入)。 🐛 **缺陷点**：`test.php` 修复不完整，`file_get_contents` 和 `curl` 路径未清理，**URL验证正则**存在缺陷（如接受 `httpevil[.]com`）。

🎯 **产品**：WWBN AVideo (PHP视频平台)。 📦 **版本**：**29.0 及之前版本**均受影响。

👑 **权限**：获取**服务器最高权限**（System/Web Server用户）。 📂 **数据**：可读取/篡改所有数据，甚至控制整个内网。

📉 **门槛**：**极低**。 🔓 **条件**：无需认证 (PR:N)，无需用户交互 (UI:N)，网络远程即可利用 (AV:N)。

📦 **Exp**：官方披露了修复 Commit，但**暂无公开 PoC** 或**在野利用**报告。 ⚠️ 风险：因CVSS高，黑客可能快速编写利用代码。

🔎 **自查**：检查是否存在 `test.php` 文件。 📡 **扫描**：检测 URL 参数是否触发命令注入特征，或扫描 AVideo 版本标识。

🛡️ **状态**：**已修复**。 🔗 **补丁**：官方 GitHub 已发布安全公告 (GHSA) 及修复 Commit，请升级至**29.0之后版本**。

🚧 **临时规避**： 1. **移除**或限制访问 `test.php`。 2. 配置 WAF 拦截包含 `|`, `;`, `&` 等命令注入字符的 URL 请求。 3. 严格校验 URL 输入，禁止非常规字符。

🔥 **优先级**：**紧急 (Critical)**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N。 💡 **建议**：立即升级或应用临时缓解措施，防止服务器沦陷。