漏洞总结:WWBN/AVideo 未认证直播流终止漏洞 漏洞概述 漏洞名称:Unauthenticated Live Stream Termination via RTMP Callback on_publish_done.php CVE编号:CVE-2024-34731 CVSS评分:7.5/10(High) CWE-306:关键功能缺失身份验证 端点处理RTMP服务器回调时,未执行任何身份验证检查(无 、 或Token验证),允许未认证用户通过POST请求中的 参数(直播流密钥)直接终止任意活跃直播流。 --- 影响范围 攻击场景: 1. 攻击者先从未认证的 端点枚举活跃直播流密钥 2. 构造POST请求终止指定直播流 3. 可批量遍历实现全平台直播DoS攻击 --- 完整POC代码 1. 获取活跃流密钥 2. 终止指定直播流 3. 批量终止所有活跃流(Bash脚本) --- 修复方案 推荐修复:限制RTMP回调端点仅允许本地连接 在 添加: 原理:该端点设计为仅由本地RTMP服务器(如Nginx-RTMP)调用,应拒绝所有外部请求。