漏洞总结 漏洞概述 名称: CSRF on Site Customization Endpoint Enables Logo Overwrite via Base64 File Write (CSRF导致站点自定义端点允许通过Base64文件写入覆盖Logo) 类型: 跨站请求伪造 (CSRF) / 文件写入漏洞 描述: 站点自定义端点 缺乏CSRF令牌验证。该端点在ORM的域安全检查执行之前,直接将上传的logo文件(base64编码)写入磁盘。结合 cookie策略,攻击者可通过跨源POST请求覆盖平台Logo,注入攻击者控制的图像。 影响范围 受影响版本: AVideo <= 26.0 已修复版本: 无 (None) 修复方案 建议在 文件中,在处理任何POST数据或执行文件写入操作( 和 )之前,添加CSRF令牌验证。 POC代码 (Proof of Concept) 建议修复代码示例**