概要
WWBN AVideoはオープンソースの動画プラットフォームです。バージョン26.0まで(26.0を含む)の`plugin/API/standAlone/functions.php`内の`sanitizeFFmpegCommand()`関数は、ffmpegコマンドにおけるOSコマンドインジェクションを防ぐ目的で危険なシェルメタ文字(`&&`、`;`、`|`、“ ` “、“、“)を除去するよう設計されています。しかし、`$()`(bashのコマンド置換構文)を除去できていません。サニタイズされたコマンドは`execAsync()`関数内の二重引用符で囲まれた`sh -c`コンテキストで実行されるため、有効な暗号化ペイロードを作成できる攻撃者はスタンドアロンエンコーダサーバ上で任意のコマンドを実行できます。コミット25c8ab90269e3a01fb4cf205b40a373487f022e1に修正が含まれています。
技術情報
- 公開日: 2026-03-27T16:22:53+09:00
- 更新日: 2026-03-27T16:22:53+09:00
参考リンク
対処方法
該当ソフトウェアの最新版への更新、または開発元が提供する緩和策の適用を推奨します。運用環境に応じて事前検証の上で実施してください。
免責
本記事は公開情報をもとに自動集約された速報です。正確性・完全性は保証できません。必ず一次情報(上記リンク等)をご確認ください。
