JVNDB-2026-009112

WWBNのAVideoにおけるコードインジェクションの脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0までのGalleryプラグインの`saveSort.json.php`エンドポイントは、`$_REQUEST['sections']`配列の値からの未検証のユーザー入力を直接PHPの`eval()`関数に渡します。このエンドポイントは`User::isAdmin()`によって制限されていますが、CSRFトークンの検証はありません。AVideoの明示的な`SameSite=None`のセッションクッキー設定と組み合わせることで、管理者が攻撃者が制御するページを訪問するだけで、クロスサイトリクエストフォージェリを通じて認証されていないリモートコード実行が達成される可能性があります。コミット087dab8841f8bdb54be184105ef19b47c5698fcbに修正が含まれています。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : PHP Code Injection via eval() in Gallery saveSort.json.php Exploitable Through CSRF Against Admin  Advisory  WWBN/AVideo  GitHub

1. コード・インジェクション(CWE-94) [その他]

1. CVE-2026-33479

1. National Vulnerability Database (NVD) : CVE-2026-33479
2. 関連文書 : feat: Implement CSRF protection and input validation in saveSort endp…  WWBN/AVideo@087dab8  GitHub

• [2026年03月27日]
    掲載