JVNDB-2026-012808

WWBNのAVideoにおけるクロスサイトリクエストフォージェリの脆弱性

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン29.0以前では、`objects/`配下の複数のAVideo JSONエンドポイントが`$_REQUEST`や`$_GET`を介して状態を変更するリクエストを受け入れ、呼び出し元のセッションユーザーに紐づく変更を永続化していましたが、アンチCSRFトークン、オリジンチェック、リファラチェックが一切存在しませんでした。ログイン中の被害者が悪意あるページを訪問すると、被害者の知らぬ間に任意のコメントに対するいいね・よくないねの切り替え（`objects/comments_like.json.php`）、被害者を著者とした攻撃者指定テキストの任意動画へのコメント投稿（`objects/commentAddNew.json.php`）、および被害者がカテゴリ管理権限を持つ場合には任意のカテゴリから資産を削除すること（`objects/categoryDeleteAssets.json.php`）が可能となります。各エンドポイントはブラウザから単純な`img src="…"`タグやフォーム送信でアクセス可能であるため、被害者が攻撃者制御のHTMLリソースを読み込むだけで悪用が成立します。修正はコミットID 7aaad601bd9cd7b993ba0ee1b1bea6c32ee7b77cに含まれています。

WWBN

• AVideo 29.0 およびそれ以前

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアの一部が停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : AVideo: Missing CSRF Protection on State-Changing JSON Endpoints Enables Forced Comment Creation, Vote Manipulation, and Category Asset Deletion  Advisory  WWBN/AVideo  GitHub

1. クロスサイトリクエストフォージェリ(CWE-352) [その他]

1. CVE-2026-40928

1. National Vulnerability Database (NVD) : CVE-2026-40928
2. 関連文書 : fix: Add request validation to prevent untrusted access in category a…  WWBN/AVideo@7aaad60  GitHub

• [2026年04月27日]
    掲載