概要
WWBN AVideoはオープンソースの動画プラットフォームです。バージョン26.0まで(26.0を含む)では、`objects/import.json.php`エンドポイントが、値が`.mp4`で終わることを正規表現で確認するのみの、ユーザー制御された`fileURI` POSTパラメータを受け入れます。`objects/listFiles.json.php`は`realpath()`とディレクトリプレフィックスのチェックでパスを`videos/`ディレクトリに制限するように強化されていますが、`import.json.php`はディレクトリ制限を行いません。これにより、アップロード権限を持つ認証ユーザーは以下のことが可能になります:(1) 他のユーザーのプライベート動画ファイルを自分のアカウントにインポートして盗むことができる、(2) ファイルシステム上の任意の`.mp4`ファイルに隣接する`.txt`、`.html`、`.htm`ファイルを読み取ることができる、(3) ウェブサーバープロセスが書き込み可能な場合、`.mp4`および隣接するテキストファイルを削除することができる点です。コミットe110ff542acdd7e3b81bdd02b8402b9f6a61ad78に修正が含まれています。
技術情報
- 公開日: 2026-03-27T16:22:38+09:00
- 更新日: 2026-03-27T16:22:38+09:00
参考リンク
対処方法
該当ソフトウェアの最新版への更新、または開発元が提供する緩和策の適用を推奨します。運用環境に応じて事前検証の上で実施してください。
免責
本記事は公開情報をもとに自動集約された速報です。正確性・完全性は保証できません。必ず一次情報(上記リンク等)をご確認ください。
