JVNDB-2026-005587

WWBNのAVideoにおけるクロスサイトスクリプティングの脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン21.0以前のAVideoでは、動画コメントにMarkdownの使用を許可しており、Parsedown（v1.7.4）をセーフモードを無効のまま使用しています。Markdownリンクのサニタイズが不十分であるため、`javascript:` URIがクリック可能なリンクとしてレンダリングされてしまいます。認証された低権限の攻撃者は悪意のあるコメントを投稿でき、永続的なJavaScriptを注入可能です。他のユーザーがそのリンクをクリックすると、攻撃者はセッションハイジャック、権限昇格（管理者権限の乗っ取りを含む）、データ漏えいなどの攻撃を実行できます。バージョン21.0で修正が行われました。対策としては、Markdownをレンダリングする前に不正なURIスキーム（例：`javascript:`）の検証およびブロックを行い、Parsedownのセーフモードを有効にすることが推奨されます。

WWBN

• AVideo 21.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Stored Cross-Site Scripting via Markdown Comment Injection  Advisory  WWBN/AVideo  GitHub

1. クロスサイトスクリプティング(CWE-79) [その他]

1. CVE-2026-27568

1. National Vulnerability Database (NVD) : CVE-2026-27568
2. 関連文書 : Release 21.0  WWBN/AVideo  GitHub
3. 関連文書 : feat(markDownToHTML): enable safe mode and escape markup to prevent X…  WWBN/AVideo@ade348e  GitHub

• [2026年03月02日]
    掲載