漏洞总结:CSRF on Player Skin Configuration 1. 漏洞概述 漏洞类型: CSRF (Cross-Site Request Forgery, 跨站请求伪造) 受影响软件: WWBN/AVideo 漏洞描述: 在 端点中,系统未验证 CSRF 令牌。此外, 表被显式排除在 ORM 的域基础安全检查之外(通过 ),移除了唯一的另一层防御。结合 的 Cookie 配置,攻击者可以通过跨域 POST 请求修改整个平台的视频播放器外观。 2. 影响范围 受影响版本: <= 26.0 修复版本: 无 (None) 潜在危害: 无需管理员同意即可修改平台级播放器外观。 若设置无效的皮肤值,可能导致视频播放中断。 由于 ORM 安全被绕过,不存在后备保护机制。 可被用作更广泛破坏或社会工程攻击的一部分。 3. 修复方案 建议在 处理 POST 数据之前,添加 CSRF 令牌验证。 修复代码示例: 4. 概念验证 (POC) 攻击者可利用以下 HTML 页面在管理员访问时触发漏洞: