JVNDB-2026-008995

WWBNのAVideoにおける暗号強度に関する脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0までのLoginControlプラグインにおけるPGP 2FAシステムの`createKeys()`関数は、1999年以降公に因数分解可能な512ビットRSA鍵を生成しています。攻撃者が対象ユーザーの公開鍵を入手すると、一般的なハードウェアで数時間以内に512ビットRSAの法数を因数分解でき、完全な秘密鍵を導き出してシステムが発行するPGP 2FAチャレンジを復号し、二要素認証を完全に回避することが可能です。さらに、`generateKeys.json.php`および`encryptMessage.json.php`エンドポイントには認証チェックが存在しないため、匿名ユーザーでもCPU集約型の鍵生成が許されています。修正はコミット00d979d87f8182095c8150609153a43f834e351eに含まれています。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : PGP 2FA Bypass via Cryptographically Broken 512-bit RSA Key Generation in LoginControl Plugin  Advisory  WWBN/AVideo  GitHub

1. 不適切な暗号強度(CWE-326) [その他]

1. CVE-2026-33488

1. National Vulnerability Database (NVD) : CVE-2026-33488
2. 関連文書 : fix: Enhance security by requiring authentication for message encrypt…  WWBN/AVideo@00d979d  GitHub

• [2026年03月27日]
    掲載