JVNDB-2026-008996

WWBNのAVideoにおけるSQL インジェクションの脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0まで（26.0を含む）において、RTMPの`on_publish`コールバック（`plugin/Live/on_publish.php`）は認証なしでアクセス可能です。`$_POST['name']`パラメータ（ストリームキー）は、`LiveTransmitionHistory::getLatest()`と`LiveTransmition::keyExists()`の2箇所で、パラメータ化バインディングやエスケープ処理を行わずに直接SQLクエリに挿入されます。未認証の攻撃者は時間差盲目SQLインジェクションを悪用して、ユーザーパスワードハッシュ、メールアドレスおよびその他の機密データを含むデータベースの全内容を抽出可能です。修正はコミットaf59eade82de645b20183cc3d74467a7eac76549に含まれています。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Unauthenticated Blind SQL Injection in RTMP on_publish Callback via Stream Name Parameter  Advisory  WWBN/AVideo  GitHub

1. SQLインジェクション(CWE-89) [その他]

1. CVE-2026-33485

1. National Vulnerability Database (NVD) : CVE-2026-33485
2. 関連文書 : fix: Implement parameterized queries in LiveTransmition and LiveTrans…  WWBN/AVideo@af59ead  GitHub

• [2026年03月27日]
    掲載