JVNDB-2026-008811

WWBNのAVideoにおける不正な認証に関する脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0までのすべてのバージョンにおいて、「Videos Moderator」権限を持つユーザーは、権限が動画の公開状態の変更（アクティブ、非アクティブ、未公開）のみを許可すると記載されているにもかかわらず、権限昇格により完全な動画管理操作（所有権の移転および任意の動画の削除を含む）を実行できます。問題の根本原因は、`Permissions::canModerateVideos()`が`videoAddNew.json.php`での完全な動画編集の認可ゲートとして使用されている一方、`videoDelete.json.php`では所有権のみをチェックしており、不対称な認可境界が所有権移転後の削除という2段階のチェーンを通じて悪用できることにあります。コミット838e16818c793779406ecbf34ebaeba9830e33f8に修正パッチが含まれています。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアの一部が停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Video Moderator Privilege Escalation via Ownership Transfer Enables Arbitrary Video Deletion  Advisory  WWBN/AVideo  GitHub

1. 不正な認証(CWE-863) [その他]

1. CVE-2026-33650

1. National Vulnerability Database (NVD) : CVE-2026-33650
2. 関連文書 : fix: Update permission checks to use canAdminVideos for category and …  WWBN/AVideo@838e168  GitHub

• [2026年03月27日]
    掲載