JVNDB WWBNのAVideoにおけるファイル名やパス名の外部制御に関する脆弱性
概要WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0まで(26.0を含む)では、`POST /objects/aVideoEncoder.json.php`がステージアップロードチャンク用のリクエスター...
JVN
JVNDB JVNDB WWBNのAVideoにおける複数の脆弱性
概要WWBN AVideoはオープンソースの動画プラットフォームです。バージョン26.0までのAVideoのCloneSiteプラグインには複数の脆弱性が存在し、これらが連鎖することで完全に認証されていない攻撃者がリモートコード実行を達成で...
JVNDB WWBNのAVideoにおけるサーバサイドのリクエストフォージェリの脆弱性
概要WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0まで(26.0を含む)において、AVideoの`isSSRFSafeURL()`関数はIPv4マップドIPv6アドレス(`::ffff:x.x.x.x...
JVNDB WWBNのAVideoにおけるOS コマンドインジェクションの脆弱性
概要WWBN AVideoはオープンソースの動画プラットフォームです。バージョン26.0まで(26.0を含む)の`plugin/API/standAlone/functions.php`内の`sanitizeFFmpegCommand()`...
JVNDB WWBNのAVideoにおけるSQL インジェクションの脆弱性
概要WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0まで(26.0を含む)において、RTMPの`on_publish`コールバック(`plugin/Live/on_publish.php`)は認証なしで...
JVNDB WWBNのAVideoにおける暗号強度に関する脆弱性
概要WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0までのLoginControlプラグインにおけるPGP 2FAシステムの`createKeys()`関数は、1999年以降公に因数分解可能な512ビッ...
JVNDB WWBNのAVideoにおけるセッションの固定化の脆弱性
概要WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0までのAVideoでは、`_session_start()`関数が`PHPSESSID`のGETパラメータを介して任意のセッションIDを受け入れ、それ...
JVNDB WWBNのAVideoにおけるパストラバーサルの脆弱性
概要WWBN AVideoはオープンソースの動画プラットフォームです。バージョン26.0まで(26.0を含む)では、`objects/import.json.php`エンドポイントが、値が`.mp4`で終わることを正規表現で確認するのみの、...
JVNDB WordPress用プラグインOpenStreetMapにおけるクロスサイトスクリプティングの脆弱性
概要MiKaが提供するWordPress用プラグインOpenStreetMapには、次の脆弱性が存在します。クロスサイトスクリプティング(CWE-79)- CVE-2026-33559 この脆弱性情報は、情報セキュリティ早期警戒パートナーシ...
JVNDB バッファロー製Wi-Fiルータにおける複数の脆弱性
概要株式会社バッファローが提供するWi-Fiルータ製品には、次の複数の脆弱性が存在します。脆弱なサードパーティ製コンポーネントの使用(CWE-1395)- 本問題はmini_httpdの脆弱性(CVE-2015-1548)に起因していますO...