AVideo には、JSON リクエスト経由でオブジェクト/videos.json.php で認証されていない SQL Injection のバイパスの脆弱性が存在します。

このSQLインジェクション脆弱性は、攻撃者がAVideoアプリケーションのデータベースに不正にアクセスすることを可能にします。攻撃者は、JSON形式のPOSTリクエストボディを通じてcatNameパラメータを送信することで、この脆弱性を悪用できます。このパラメータの適切なサニタイズが欠如しているため、攻撃者は既存のセキュリティチェックを回避し、任意のSQLクエリを実行できます。これにより、データベース全体のエクスフィルター、機密データの窃取（管理者ユーザー名を含む）、さらにはデータベースの改ざんも可能になります。この脆弱性は、類似のSQLインジェクション攻撃と同様に、広範囲な損害を引き起こす可能性があります。

Organizations utilizing AVideo versions prior to 24.0, particularly those with publicly accessible instances or those handling sensitive user data, are at significant risk. Shared hosting environments where multiple users share the same AVideo installation are also particularly vulnerable, as a compromise of one user's account could potentially lead to database access for all users.

• php / web:

curl -X POST -d '{"catName: "'$(python3 -c 'print("'; DROP TABLE users;--")')'"}' http://your-avideo-server/objects/videos.json.php

• generic web:

 grep -i "DROP TABLE" /var/log/apache2/access.log

• generic web:

 grep -i "SELECT * FROM" /var/log/apache2/error.log

1. 2026-03-02Disclosure

   disclosure

1. 予約済み2026-02-27
2. 公開日2026-03-02
3. 更新日2026-03-06
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずAVideoをバージョン24.0にアップグレードすることを推奨します。アップグレードが一時的にアプリケーションの機能を損なう可能性がある場合は、ロールバック手順を事前に準備しておく必要があります。また、Webアプリケーションファイアウォール（WAF）またはリバースプロキシを使用して、悪意のあるSQLインジェクション攻撃をブロックすることも有効です。WAFルールは、JSONペイロード内のcatNameパラメータに対するSQLインジェクション攻撃を検出するように構成する必要があります。さらに、AVideoのログを監視し、異常なSQLクエリの実行を検出するためのカスタム検出シグネチャ（Sigma/YARAパターン）を実装することも推奨されます。アップグレード後、SQLインジェクション攻撃が成功しなくなることを確認してください。