概要
WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0までのLoginControlプラグインにおけるPGP 2FAシステムの`createKeys()`関数は、1999年以降公に因数分解可能な512ビットRSA鍵を生成しています。攻撃者が対象ユーザーの公開鍵を入手すると、一般的なハードウェアで数時間以内に512ビットRSAの法数を因数分解でき、完全な秘密鍵を導き出してシステムが発行するPGP 2FAチャレンジを復号し、二要素認証を完全に回避することが可能です。さらに、`generateKeys.json.php`および`encryptMessage.json.php`エンドポイントには認証チェックが存在しないため、匿名ユーザーでもCPU集約型の鍵生成が許されています。修正はコミット00d979d87f8182095c8150609153a43f834e351eに含まれています。
技術情報
- 公開日: 2026-03-27T16:22:44+09:00
- 更新日: 2026-03-27T16:22:44+09:00
参考リンク
対処方法
該当ソフトウェアの最新版への更新、または開発元が提供する緩和策の適用を推奨します。運用環境に応じて事前検証の上で実施してください。
免責
本記事は公開情報をもとに自動集約された速報です。正確性・完全性は保証できません。必ず一次情報(上記リンク等)をご確認ください。
