JVNDB-2026-009578

WWBNのAVideoにおけるクロスサイトスクリプティングの脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0までのYPTWallet Stripe決済確認ページでは、`$_REQUEST['plugin']`パラメータをエンコードやサニタイズなしに直接JavaScriptブロック内に出力しています。`plugin`パラメータは`security.php`に定義されているフレームワークの入力フィルターリストに含まれていないため、完全に未加工のまま通過します。攻撃者は悪意のあるURLを作成して被害ユーザーに送信することで、任意のJavaScriptを注入可能です。同じスクリプトブロックは現在のユーザーのユーザー名とパスワードハッシュを`User::getUserName()`および`User::getUserPass()`を通じて出力するため、XSSが成功するとこれらの認証情報を即座に盗み出すことができます。コミットfa0bc102493a15d79fe03f86c07ab7ca1b5b63e2でこの問題は修正されました。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Reflected XSS via Unsanitized plugin Parameter in YPTWallet Stripe Payment Page  Advisory  WWBN/AVideo  GitHub

1. クロスサイトスクリプティング(CWE-79) [その他]

1. CVE-2026-34375

1. National Vulnerability Database (NVD) : CVE-2026-34375
2. 関連文書 : fix: Update plugin parameter handling to ensure proper JSON encoding …  WWBN/AVideo@fa0bc10  GitHub

• [2026年04月02日]
    掲載