JVNDB-2026-008814

WWBNのAVideoにおける危険なタイプのファイルの無制限アップロードに関する脆弱性

WWBN AVideoはオープンソースの動画プラットフォームです。バージョン26.0まで（26.0を含む）の`ImageGallery::saveFile()`メソッドは、アップロードされたファイルの内容を`finfo`によるMIMEタイプ検出で検証しますが、保存されるファイル名の拡張子をユーザーが指定した元のファイル名から許可リストのチェックなしに取得していました。攻撃者は、有効なJPEGマジックバイトに続いてPHPコードが含まれるポリグロットファイルを`.php`拡張子付きでアップロードすることが可能です。MIMEチェックは通過しますが、ファイルはウェブからアクセス可能なディレクトリに実行可能な`.php`ファイルとして保存されるため、リモートコード実行が可能になります。コミット345a8d3ece0ad1e1b71a704c1579cbf885d8f3aeにパッチが含まれています。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Remote Code Execution via MIME/Extension Mismatch in ImageGallery File Upload  Advisory  WWBN/AVideo  GitHub

1. 危険なタイプのファイルの無制限アップロード(CWE-434) [その他]

1. CVE-2026-33647

1. National Vulnerability Database (NVD) : CVE-2026-33647
2. 関連文書 : fix: Refactor file upload handling in ImageGallery plugin to improve …  WWBN/AVideo@345a8d3  GitHub

• [2026年03月27日]
    掲載