漏洞概述 CVE-2025-XXXX - PHP 运算符优先级漏洞导致的未认证文件删除 WWBN/AVideo 的 脚本存在 PHP 运算符优先级错误。该脚本本意仅允许 CLI 访问,但由于 (逻辑非)运算符优先级高于 (严格比较),导致访问控制失效。 漏洞代码(有缺陷): 实际解析为 ,HTTP 访问时永远返回 ,导致 永不执行。 正确代码: --- 影响范围 攻击后果: 文件删除:删除系统临时目录中超过24小时的文件(PHP session 文件、上传临时文件、缓存等) 信息泄露:暴露临时目录完整路径、文件列表和数量 拒绝服务:重复请求可持续清除临时文件,干扰文件上传和会话管理 --- POC 代码 步骤1:验证未认证访问 预期响应(HTTP 200): 若防护正常,响应应为: 步骤2:本地演示 PHP 运算符优先级错误 步骤3:前后对比监控 --- 修复方案 将 第2行的否定运算符替换为不等运算符: