JVNDB WWBNのAVideoにおけるクロスサイトリクエストフォージェリの脆弱性
概要WWBN AVideoはオープンソースの動画プラットフォームです。バージョン26.0およびそれ以前のAVideoの管理者プラグイン設定エンドポイント(admin/save.json.php)にはCSRFトークン検証がありません。リクエス...
JVN
JVNDB JVNDB WWBNのAVideoにおける認証の欠如に関する脆弱性
概要WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0およびそれ以前のバージョンでは、plugin/YPTWallet/view/users.json.phpエンドポイントが認証された任意のユーザーに対し...
JVNDB WWBNのAVideoにおけるクロスサイトスクリプティングの脆弱性
概要WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0およびそれ以前のバージョンでは、AVideoの管理パネルがプラグイン設定値をHTMLフォームにレンダリングする際に、htmlspecialchars(...
JVNDB FreeScoutにおける複数の脆弱性
概要FreeScoutはPHPのLaravelフレームワークで構築された無料のヘルプデスクおよび共有受信トレイです。バージョン1.8.211以前のFreeScout()にはホストヘッダー操作の脆弱性が存在し、攻撃者が生成される絶対URLに任...
JVNDB WWBNのAVideoにおけるクロスサイトリクエストフォージェリの脆弱性
概要WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0以前では、AVideoのエンドポイントobjects/emailAllUsers.json.phpが管理者にプラットフォーム上の全登録ユーザーにHTM...
JVNDB WWBNのAVideoにおけるクロスサイトリクエストフォージェリの脆弱性
概要WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0およびそれ以前のバージョンでは、AVideoのエンドポイントobjects/pluginSwitch.json.phpが管理者にインストールされている...
JVNDB WWBNのAVideoにおける重要な機能に対する認証の欠如に関する脆弱性
概要WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0およびそれ以前のバージョンでは、Liveプラグインのon_publish_done.phpエンドポイントが認証されていないユーザーによって任意のアクテ...
JVNDB WWBNのAVideoにおける重要な機能に対する認証の欠如に関する脆弱性
概要WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0およびそれ以前では、AVideoのCreatePluginテンプレートであるlist.json.phpに認証および認可のチェックが含まれていません。付...
JVNDB WWBNのAVideoにおけるアクセス制御に関する脆弱性
概要WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0およびそれ以前のバージョンにおいて、AVideoのインストールスクリプトinstall/deleteSystemdPrivate.phpにはCLI専用...
JVNDB WWBNのAVideoにおける認証の欠如に関する脆弱性
概要WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0およびそれ以前には、StripeYPTプラグインにtest.phpというデバッグ用エンドポイントが存在し、管理者だけでなくログインした任意のユーザーも...