概要
WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン29.0およびそれ以前のバージョンでは、管理者専用の3つのJSONエンドポイント(`objects/categoryAddNew.json.php`、`objects/categoryDelete.json.php`、`objects/pluginRunUpdateScript.json.php`)が、ロールチェック(`Category::canCreateCategory()` / `User::isAdmin()`)のみを実施しており、`isGlobalTokenValid()`や`forbidIfIsUntrustedRequest()`を呼び出さずにデータベースに状態変更の操作を行っていました。同じディレクトリ内の他のエンドポイント(`pluginSwitch.json.php`、`pluginRunDatabaseScript.json`)はCSRFトークンを適切に検証しているため、これらのチェックの欠如は設計上の意図ではなく見落としです。攻撃者がログイン中の管理者を悪意のあるページに誘導することで、管理者のセッションを使い、カテゴリーの作成・更新・削除や任意のインストール済みプラグインの`updateScript()`メソッドの強制実行を行うことが可能です。修正はコミットee5615153c40628ab3ec6fe04962d1f92e67d3e2に含まれています。
技術情報
- 深刻度: 中
- 公開日: 2026-04-24T11:41:19+09:00
- 更新日: 2026-04-24T11:41:19+09:00
参考リンク
対処方法
該当ソフトウェアの最新版への更新、または開発元が提供する緩和策の適用を推奨します。運用環境に応じて事前検証の上で実施してください。
免責
本記事は公開情報をもとに自動集約された速報です。正確性・完全性は保証できません。必ず一次情報(上記リンク等)をご確認ください。
