概要
WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン29.0以前では、`objects/`配下の複数のAVideo JSONエンドポイントが`$_REQUEST`や`$_GET`を介して状態を変更するリクエストを受け入れ、呼び出し元のセッションユーザーに紐づく変更を永続化していましたが、アンチCSRFトークン、オリジンチェック、リファラチェックが一切存在しませんでした。ログイン中の被害者が悪意あるページを訪問すると、被害者の知らぬ間に任意のコメントに対するいいね・よくないねの切り替え(`objects/comments_like.json.php`)、被害者を著者とした攻撃者指定テキストの任意動画へのコメント投稿(`objects/commentAddNew.json.php`)、および被害者がカテゴリ管理権限を持つ場合には任意のカテゴリから資産を削除すること(`objects/categoryDeleteAssets.json.php`)が可能となります。各エンドポイントはブラウザから単純な`img src=”…”`タグやフォーム送信でアクセス可能であるため、被害者が攻撃者制御のHTMLリソースを読み込むだけで悪用が成立します。修正はコミットID 7aaad601bd9cd7b993ba0ee1b1bea6c32ee7b77cに含まれています。
技術情報
- 深刻度: 中
- 公開日: 2026-04-27T11:20:32+09:00
- 更新日: 2026-04-27T11:20:32+09:00
参考リンク
対処方法
該当ソフトウェアの最新版への更新、または開発元が提供する緩和策の適用を推奨します。運用環境に応じて事前検証の上で実施してください。
免責
本記事は公開情報をもとに自動集約された速報です。正確性・完全性は保証できません。必ず一次情報(上記リンク等)をご確認ください。
