JVNDB-2026-009583

WWBNのAVideoにおける認証の欠如に関する脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0までの `plugin/Live/uploadPoster.php` エンドポイントでは、認証された任意のユーザーが任意の `live_schedule_id` を指定して、任意の予定されたライブストリームのポスター画像を上書きできます。このエンドポイントは `User::isLogged()` のみをチェックしており、認証ユーザーが対象のスケジュールの所有者であるかどうかは検証していません。ポスターを上書きした後、エンドポイントは被害者の放送キーとユーザーIDを含む `socketLiveOFFCallback` 通知をすべての接続されたWebSocketクライアントにブロードキャストします。コミット5fcb3bdf59f26d65e203cfbc8a685356ba300b60でこの問題は修正されました。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : IDOR in uploadPoster.php Allows Any Authenticated User to Overwrite Scheduled Live Stream Posters and Trigger False Socket Notifications  Advisory  WWBN/AVideo  GitHub

1. 認証の欠如(CWE-862) [その他]

1. CVE-2026-34247

1. National Vulnerability Database (NVD) : CVE-2026-34247
2. 関連文書 : fix: Ensure proper access control for editing live schedules in uploa…  WWBN/AVideo@5fcb3bd  GitHub

• [2026年04月02日]
    掲載