JVNDB-2026-008810

WWBNのAVideoにおけるSQL インジェクションの脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0まで（含む）において、`remindMe.json.php`エンドポイントは`$_REQUEST['live_schedule_id']`を複数の関数に渡しますが、サニタイズされずに`Scheduler_commands::getAllActiveOrToRepeat()`に到達し、そこで直接SQLの`LIKE`句に連結されます。中間の関数（`new Live_schedule()`、`getUsers_idOrCompany()`）は内部で`intval()`を適用していますが、それは`ObjectYPT::getFromDb()`内のローカルコピーに対してのみ行われており、元の汚染された変数は変更されていません。認証された任意のユーザーは時間ベースのブラインドSQLインジェクションを実行して任意のデータベース内容を抽出できます。コミット75d45780728294ededa1e3f842f95295d3e7d144に修正が含まれています。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Blind SQL Injection in Live Schedule Reminder via Unsanitized live_schedule_id in Scheduler_commands::getAllActiveOrToRepeat()  Advisory  WWBN/AVideo  GitHub

1. SQLインジェクション(CWE-89) [その他]

1. CVE-2026-33651

1. National Vulnerability Database (NVD) : CVE-2026-33651
2. 関連文書 : fix: Clean up code formatting and improve SQL query parameterization …  WWBN/AVideo@75d4578  GitHub

• [2026年03月27日]
    掲載