JVNDB-2026-009753

WWBNのAVideoにおける認証の欠如に関する脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0およびそれ以前には、StripeYPTプラグインにtest.phpというデバッグ用エンドポイントが存在し、管理者だけでなくログインした任意のユーザーもアクセス可能でした。このエンドポイントはStripeのWebhook形式のペイロードを処理し、キャンセルを含むサブスクリプション操作をトリガーします。retrieveSubscriptions()メソッドのバグにより、サブスクリプションを単に取得するのではなくキャンセルしてしまうため、認証済みの任意のユーザーがサブスクリプションIDを提供することで任意のStripeサブスクリプションをキャンセルできました。公開時点では、公開されている修正パッチはありません。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Arbitrary Stripe Subscription Cancellation via Debug Endpoint and retrieveSubscriptions() Bug  Advisory  WWBN/AVideo  GitHub

1. 認証の欠如(CWE-862) [その他]

1. CVE-2026-34737

1. National Vulnerability Database (NVD) : CVE-2026-34737

• [2026年04月03日]
    掲載