JVNDB-2026-010954

WWBNのAVideoにおける不正な認証に関する脆弱性

WWBN AVideoはオープンソースの動画プラットフォームです。26.0までのバージョンでは、カテゴリーリストAPIを提供する`categories.json.php`エンドポイントが、カテゴリーに対するユーザーグループベースのアクセス制御を適切に実施していません。デフォルトのリクエストパス（`?user=`パラメータがない場合）では、ユーザーグループによるフィルタリングが完全にスキップされ、特定のユーザーグループに制限された非公開以外のすべてのカテゴリーが公開されてしまいます。`?user=`パラメータが指定された場合、型混同のバグによりフィルタは現在のユーザーのグループメンバーシップではなく管理者ユーザー（user_id=1）のグループメンバーシップを使用し、その結果フィルタが無効となります。修正はコミット6e8a673eed07be5628d0b60fbfabd171f3ce74c9に含まれています。

WWBN

• AVideo 26.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : User Group-Based Category Access Control Bypass via Missing and Broken Group Filtering in categories.json.php  Advisory  WWBN/AVideo  GitHub

1. 不正な認証(CWE-863) [その他]

1. CVE-2026-34364

1. National Vulnerability Database (NVD) : CVE-2026-34364
2. 関連文書 : fix: Enhance category filtering by adding user group support in categ…  WWBN/AVideo@6e8a673  GitHub

• [2026年04月15日]
    掲載