JVNDB-2026-012805

WWBNのAVideoにおける推測可能な CAPTCHA の脆弱性

WWBN AVideoはオープンソースの動画プラットフォームです。バージョン29.0およびそれ以前では、`objects/getCaptcha.php`がクエリ文字列からCAPTCHAの長さ（`ql`）を直接受け取り、制限やサニタイズを行っていませんでした。そのため、認証されていないクライアントがサーバーに1文字のCAPTCHAワードを生成させることが可能でした。大文字小文字を区別しない約33文字のアルファベットに対する`strcasecmp`比較と、検証失敗時にも保存されたセッショントークンを消費しないという事実を組み合わせることで、攻撃者は`Captcha::validation()`（ユーザー登録、パスワード回復、問い合わせフォームなど）に依存する任意のエンドポイントのCAPTCHAを、セッションあたり最大約33回のリクエストで簡単にブルートフォース攻撃できました。コミットbf1c76989e6a9054be4f0eb009d68f0f2464b453で修正されています。

WWBN

• AVideo 29.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : CAPTCHA Bypass in WWBN/AVideo via Attacker-Controlled Length Parameter and Missing Token Invalidation on Failure  Advisory  WWBN/AVideo  GitHub

1. 推測可能な CAPTCHA(CWE-804) [その他]

1. CVE-2026-40935

1. National Vulnerability Database (NVD) : CVE-2026-40935
2. 関連文書 : fix: Improve captcha generation and validation logic for enhanced sec…  WWBN/AVideo@bf1c769  GitHub

• [2026年04月27日]
    掲載