JVNDB-2026-008993

WWBNのAVideoにおけるパストラバーサルの脆弱性

WWBN AVideoはオープンソースの動画プラットフォームです。バージョン26.0まで（26.0を含む）では、`objects/import.json.php`エンドポイントが、値が`.mp4`で終わることを正規表現で確認するのみの、ユーザー制御された`fileURI` POSTパラメータを受け入れます。`objects/listFiles.json.php`は`realpath()`とディレクトリプレフィックスのチェックでパスを`videos/`ディレクトリに制限するように強化されていますが、`import.json.php`はディレクトリ制限を行いません。これにより、アップロード権限を持つ認証ユーザーは以下のことが可能になります：(1) 他のユーザーのプライベート動画ファイルを自分のアカウントにインポートして盗むことができる、(2) ファイルシステム上の任意の`.mp4`ファイルに隣接する`.txt`、`.html`、`.htm`ファイルを読み取ることができる、(3) ウェブサーバープロセスが書き込み可能な場合、`.mp4`および隣接するテキストファイルを削除することができる点です。コミットe110ff542acdd7e3b81bdd02b8402b9f6a61ad78に修正が含まれています。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Path Traversal in import.json.php Allows Private Video Theft and Arbitrary File Read/Deletion via fileURI Parameter  Advisory  WWBN/AVideo  GitHub

1. パス・トラバーサル(CWE-22) [その他]

1. CVE-2026-33493

1. National Vulnerability Database (NVD) : CVE-2026-33493
2. 関連文書 : fix: Enhance file import security by validating file paths to prevent…  WWBN/AVideo@e110ff5  GitHub

• [2026年03月27日]
    掲載