JVNDB-2026-009751

WWBNのAVideoにおけるクロスサイトスクリプティングの脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0以前では、User_LocationプラグインのtestIP.phpページがipリクエストパラメータにhtmlspecialchars()や他の出力エンコードを適用せずに、直接HTMLのinput要素に反映していました。これにより、攻撃者は細工されたURLを介して任意のHTMLおよびJavaScriptを注入できる可能性があります。ページは管理者ユーザーに制限されていますが、AVideoのSameSite=Noneのクッキー設定によりクロスオリジンでの悪用が可能であり、攻撃者は管理者を悪意のあるリンクに誘導して認証済みセッション内でJavaScriptを実行させることができます。公開時点では、利用可能なパッチは存在しません。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Reflected XSS via Unescaped ip Parameter in User_Location testIP.php  Advisory  WWBN/AVideo  GitHub

1. クロスサイトスクリプティング(CWE-79) [その他]

1. CVE-2026-34739

1. National Vulnerability Database (NVD) : CVE-2026-34739

• [2026年04月03日]
    掲載