UNKNOWNCVE-2026-34374
CVE-2026-34374: AVideo SQLインジェクション脆弱性 (v26.0以下)
プラットフォーム
php
コンポーネント
avideo
CVE-2026-34374は、AVideoのバージョン26.0以下に存在するSQLインジェクションの脆弱性です。この脆弱性は、Live_schedule::keyExists()メソッドが、パラメータ化されていないSQLクエリを構築することによって発生します。これにより、攻撃者はSQLクエリを注入し、データベースへの不正アクセスや情報漏洩を引き起こす可能性があります。影響を受けるバージョンは26.0以下です。現時点では、この脆弱性に対する公式な修正パッチは提供されていません。
修正方法
AVideo を、SQL インジェクションの脆弱性を修正したパッチが適用されたバージョンにアップデートしてください。公開時点ではパッチが適用されたバージョンは利用できないため、WWBN のセキュリティアップデートを監視し、パッチが利用可能になり次第適用することをお勧めします。一時的な対策として、SQL クエリに補間する前に、ストリームキーの厳密な検証を実装できます。
よくある質問
CVE-2026-34374とは何ですか?
CVE-2026-34374は、AVideoのSQLインジェクション脆弱性で、悪意のあるSQLクエリを注入されることで、情報漏洩や不正アクセスにつながる可能性があります。
影響を受ける可能性はありますか?
AVideoのバージョン26.0以下を使用している場合は、この脆弱性の影響を受ける可能性があります。ご自身のバージョンを確認してください。
どのように対策すれば良いですか?
現時点では公式の修正パッチが提供されていません。脆弱性が修正されたバージョンへのアップデートを待つか、他のセキュリティ対策を検討してください。