WWBN/AVideo 未授权访问支付订单数据漏洞总结 漏洞概述 标题: Unauthenticated Access to Payment Order Data via BlockonomicsYPT check.php 描述: BlockonomicsYPT插件的 端点在不要求身份验证的情况下,返回任何比特币地址的支付订单数据。该端点设计为辅助 页面的AJAX轮询,但缺乏访问控制检查。 严重程度: Low (CVSS 3.7 / 10) CWE: CWE-862 (Missing Authorization) 影响范围 受影响软件: WWBN/AVideo 受影响版本: <= 26.0 漏洞详情: 文件路径: (第20-30行) 该端点接受比特币地址并返回相应的订单数据,但没有任何身份验证检查。 攻击者无需登录或拥有订单关联即可查询数据。 返回数据包含:买家ID、总支付金额、货币、BTC金额(预期和已接收)、交易ID、支付状态。 比特币地址公开可查,攻击者可通过监控区块链交易发现与平台钱包关联的地址。 利用代码 (POC) PHP 漏洞代码片段: 利用命令 (cURL): 修复方案 在 第17行添加身份验证检查: