JVNDB-2026-008989

WWBNのAVideoにおける認証の欠如に関する脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0までの（26.0を含む）において、エンドポイント`plugin/Permissions/View/Users_groups_permissions/list.json.php`には認証および認可のチェックが欠如していました。そのため、認証されていないユーザーがユーザーグループとプラグインの権限マトリックス全体を取得できてしまう問題がありました。同じディレクトリ内の兄弟エンドポイント（`add.json.php`、`delete.json.php`、`index.php`）は適切に`User::isAdmin()`を要求しており、この問題は見落としによるものでした。この脆弱性の修正はコミットdc3c825734628bb32550d0daa125f05bacb6829cおよびb583acdc9a9d1eab461543caa363e1a104fb4516に含まれています。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Unauthenticated Information Disclosure of User Group Permission Mappings via Permissions Plugin  Advisory  WWBN/AVideo  GitHub

1. 認証の欠如(CWE-862) [その他]

1. CVE-2026-33501

1. National Vulnerability Database (NVD) : CVE-2026-33501
2. 関連文書 : fix: Ensure proper formatting and structure in users groups permissio…  WWBN/AVideo@dc3c825  GitHub
3. 関連文書 : fix: Add admin check to restrict access to user groups permissions data  WWBN/AVideo@b583acd  GitHub

• [2026年03月27日]
    掲載