概要
WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0まで(26.0を含む)では、`POST /objects/aVideoEncoder.json.php`がステージアップロードチャンク用のリクエスター制御の`chunkFile`パラメータを受け入れていました。このパスを信頼されたサーバー生成のチャンクの場所に制限する代わりに、このエンドポイントは`isValidURLOrPath()`を通過する任意のローカルファイルシステムパスを受け入れていました。このヘルパーは`/var/www/`、アプリケーションのルート、キャッシュ、tmp、および`videos`を含む広範囲なサーバーディレクトリのファイルを許可し、`.php`ファイルのみを拒否していました。認証されたアップローダーが自分のビデオを編集する場合、これは任意のローカルファイル読み取りに繋がります。エンドポイントは攻撃者が選択したローカルファイルを攻撃者のパブリックなビデオストレージパスにコピーし、その後HTTP経由でダウンロード可能にしました。コミット59bbd601a3f65a5b18c1d9e4eb11471c0a59214fにてこの問題の修正が含まれています。
技術情報
- 公開日: 2026-03-27T16:23:43+09:00
- 更新日: 2026-03-27T16:23:43+09:00
参考リンク
対処方法
該当ソフトウェアの最新版への更新、または開発元が提供する緩和策の適用を推奨します。運用環境に応じて事前検証の上で実施してください。
免責
本記事は公開情報をもとに自動集約された速報です。正確性・完全性は保証できません。必ず一次情報(上記リンク等)をご確認ください。
