JVNDB-2026-009603

WWBNのAVideoにおける複数の脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0まで（26.0を含む）では、`objects/playlistsVideos.json.php`エンドポイントが認証や認可のチェックなしに任意のプレイリストIDの全ビデオ内容を返してしまいます。プライベートプレイリスト（`watch_later`や`favorite`タイプを含む）は`playlistsFromUser.json.php`のリストエンドポイントから正しく非表示にされていますが、このエンドポイントに連続した整数の`playlists_id`パラメータを指定することで、内容へ直接アクセスが可能です。コミットbb716fbece656c9fe39784f11e4e822b5867f1caでこの問題に対するパッチが適用されています。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Unauthenticated IDOR in playlistsVideos.json.php Exposes Private Playlist Contents  Advisory  WWBN/AVideo  GitHub

1. ユーザ制御の鍵による認証回避(CWE-639) [その他]
2. 認証の欠如(CWE-862) [その他]

1. CVE-2026-33759

1. National Vulnerability Database (NVD) : CVE-2026-33759
2. 関連文書 : fix: Correct variable name for playlist visibility checks and enhance…  WWBN/AVideo@bb716fb  GitHub

• [2026年04月02日]
    掲載