漏洞概述 WWBN/AVideo 软件中的 诊断脚本存在未授权信息泄露漏洞。该脚本的 CLI(命令行)访问守卫被禁用(通过注释掉 语句),导致其在安装后仍可通过 HTTP 访问。攻击者可获取视频查看器统计信息,包括 IP 地址、会话 ID 和用户代理。此外,脚本启用了详细的错误报告( ),可能泄露内部文件系统路径。 影响范围 软件: WWBN/AVideo 受影响版本: <= 26.0 CWE: CWE-200 (Exposure of Sensitive Information) POC 与代码 1. 被禁用的 CLI 守卫 (install/test.php 第 5-7 行): 2. 启用的详细错误报告: 3. 数据查询与输出: 4. 利用命令 (Proof of Concept):** 修复方案 取消注释 第 8 行的 CLI 守卫代码,以恢复预期的访问限制: