HIGHCVE-2026-27732CVSS 8.1

AVideo には、aVideoEncoder.json.php の downloadURL を介した認証済みサーバーサイドリクエストフォージェリ (SSRF) が存在します。

Q: CVE-2026-27732 — SSRF in AVideoとは何ですか？

CVE-2026-27732は、AVideoの`aVideoEncoder.json.php`エンドポイントにおける認証済みサーバーサイドリクエスト偽装（SSRF）脆弱性です。攻撃者はこの脆弱性を悪用して、内部ネットワーク上の機密情報にアクセスする可能性があります。

Q: CVE-2026-27732 in AVideoの影響はありますか？

AVideoのバージョンが21.0以前の場合、この脆弱性の影響を受ける可能性があります。特に、内部ネットワークへのアクセスが許可されている認証されたユーザーが利用している環境はリスクが高まります。

Q: CVE-2026-27732 in AVideoを修正するにはどうすればよいですか？

AVideoをバージョン22.0以降にアップグレードすることを推奨します。アップグレードが困難な場合は、WAFを導入するなど、緩和策を講じる必要があります。

Q: CVE-2026-27732は積極的に悪用されていますか？

現時点では公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、攻撃者による悪用が懸念されます。

Q: CVE-2026-27732に関するAVideoの公式アドバイザリはどこで入手できますか？

AVideoの公式アドバイザリは、AVideoのセキュリティ情報ページで確認できます。

プラットフォーム

php

コンポーネント

wwbn/avideo

修正版

22.0.1

21.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-27732は、AVideoのaVideoEncoder.json.php APIエンドポイントにおける認証済みサーバーサイドリクエスト偽装（SSRF）脆弱性です。この脆弱性を悪用されると、攻撃者は内部ネットワークエンドポイントへのリクエストをトリガーし、機密データへのアクセスを試みることが可能です。影響を受けるバージョンはAVideo 21.0以前であり、バージョン22.0で修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、認証された攻撃者がAVideoサーバーを通じて任意のURLへのリクエストを送信することを可能にします。これにより、攻撃者は内部ネットワーク上の機密情報（データベース、APIエンドポイント、管理インターフェースなど）にアクセスできる可能性があります。例えば、内部のデータベースサーバーにアクセスして情報を窃取したり、他の内部サービスを悪用して攻撃を拡大させたりする可能性があります。攻撃範囲は、内部ネットワークの構成に依存しますが、機密情報の漏洩やシステムへの不正アクセスにつながる可能性があります。

悪用の状況

この脆弱性は2026年2月25日に公開されました。現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認することを推奨します。

リスク対象者翻訳中…

Organizations utilizing AVideo versions prior to 22.0, particularly those with internal services accessible via the network, are at risk. Shared hosting environments where multiple users share the same AVideo instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit the SSRF vulnerability.

検出手順翻訳中…

• php: Examine access logs for requests to aVideoEncoder.json.php with unusual or unexpected downloadURL parameters. Look for URLs pointing to internal IP addresses or non-standard ports.

grep 'aVideoEncoder.json.php' access.log | grep 'downloadURL='

• generic web: Use curl to test the endpoint with a known internal URL and verify that the request is blocked.

curl -v 'http://<avideo_server>/aVideoEncoder.json.php?downloadURL=http://169.254.169.254/mgmt/inventory'

• generic web: Check response headers for unexpected content types or error messages indicating an internal server error when attempting an SSRF request.

攻撃タイムライン

2026-02-25Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントwwbn/avideo

ベンダーosv

影響範囲修正版

< 22.0 – < 22.022.0.1

21.0.021.0.1

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-02-23
公開日2026-02-25
EPSS 更新日2026-03-23

公開後-1日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、まずAVideoをバージョン22.0以降にアップグレードすることを推奨します。アップグレードが困難な場合は、WAF（Web Application Firewall）を導入し、downloadURLパラメータに対する入力検証ルールを追加することで、SSRF攻撃を軽減できます。また、内部ネットワークへのアクセスを制限するネットワークセグメンテーションを実施することも有効です。さらに、aVideoEncoder.json.phpエンドポイントへのアクセスを厳格に制限し、不要なアクセスを防止する設定変更も検討してください。アップグレード後、downloadURLパラメータに対する検証が適切に機能していることを確認してください。

修正方法

AVideo をバージョン 22.0 以降にアップデートしてください。このバージョンには SSRF 脆弱性に対する修正が含まれています。アップデートは管理パネルを介するか、公式サイトから最新のソフトウェアをダウンロードし、アップデート手順に従うことで実行できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-27732 — SSRF in AVideoとは何ですか？

CVE-2026-27732は、AVideoのaVideoEncoder.json.phpエンドポイントにおける認証済みサーバーサイドリクエスト偽装（SSRF）脆弱性です。攻撃者はこの脆弱性を悪用して、内部ネットワーク上の機密情報にアクセスする可能性があります。

CVE-2026-27732 in AVideoの影響はありますか？