JVNDB-2026-009036

WWBNのAVideoにおけるクロスサイトスクリプティングの脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン25.0以下には、認証されていない攻撃者が被害者のブラウザで任意のJavaScriptを実行できる反射型XSS脆弱性があります。URLパラメータからのユーザー入力がPHPのjson_encode()を経由してJavaScript関数に渡され、innerHTMLによってレンダリングされるため、エンコードを回避して完全なスクリプト実行が可能になります。この脆弱性は、JavaScriptにエスケープされていないユーザー入力が(videoNotFound.phpで)渡されることと、innerHTMLがHTMLタグを実行可能なDOMとしてレンダリングする(script.jsでの処理)という二つの問題が組み合わさって発生しています。攻撃はセッションクッキーの窃取、アカウントの乗っ取り、ログインフォームへの注入によるフィッシング、自己増殖ペイロードの拡散、管理者アカウントの侵害などにまでエスカレートする可能性があり、適切な入力サニタイズの欠如やクッキーのセキュリティ（例えばPHPSESSIDにHttpOnlyフラグが設定されていないこと）が悪用されています。この問題はバージョン26.0で修正されました。

WWBN

• AVideo 26.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Unauthenticated Reflected XSS via innerHTML in AVideo [Latest Release 24.0]  Advisory  WWBN/AVideo  GitHub

1. クロスサイトスクリプティング(CWE-79) [その他]

1. CVE-2026-33035

1. National Vulnerability Database (NVD) : CVE-2026-33035
2. 関連文書 : fix: update alert functions to use HTML-safe content handling  WWBN/AVideo@cca6196  GitHub

• [2026年03月27日]
    掲載