JVNDB-2026-009600

WWBNのAVideoにおけるユーザ制御の鍵による認証回避に関する脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0までのAIプラグインのsave.json.phpエンドポイントは、攻撃者が制御する$_REQUEST['id']パラメータを使用してAIレスポンスオブジェクトを読み込みますが、そのAIレスポンスが指定されたビデオに属しているかどうかの検証を行いません。AI権限を持つ認証済みユーザーは、他のユーザーのプライベートビデオのために生成されたものを含む任意のAIレスポンスIDを参照でき、盗んだAI生成コンテンツ（タイトル、説明、キーワード、要約、または全文文字起こし）を自身のビデオに適用することが可能であるため、実質的に情報を不正に持ち出せます。コミットaa2c46a806960a0006105df47765913394eec142にて修正が含まれています。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : IDOR in AI Plugin save.json.php Allows Stealing Other Users' AI-Generated Metadata and Transcriptions  Advisory  WWBN/AVideo  GitHub

1. ユーザ制御の鍵による認証回避(CWE-639) [その他]

1. CVE-2026-33764

1. National Vulnerability Database (NVD) : CVE-2026-33764
2. 関連文書 : fix: Add validation to ensure AI responses belong to the correct video  WWBN/AVideo@aa2c46a  GitHub

• [2026年04月02日]
    掲載