HIGHCVE-2026-33292CVSS 7.5

AVideoにおいて、HLSエンドポイントのパス・トラバーサルによる認証バイパスにより、プライベート/有料動画のストリーミングが可能

Q: CVE-2026-33292 — パス・トラバーサルはwwbn/avideoで何ですか？

CVE-2026-33292は、wwbn/avideoのHLSストリーミングエンドポイントにおけるパス・トラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、許可なく動画をストリーミングできる可能性があります。

Q: CVE-2026-33292でwwbn/avideoを使用している場合、影響を受けますか？

はい、バージョン25.0以下のwwbn/avideoを使用している場合は、この脆弱性の影響を受けます。バージョン26.0へのアップデートが必要です。

Q: CVE-2026-33292でwwbn/avideoを修正するにはどうすればよいですか？

バージョン26.0へのアップデートが推奨されます。アップデートがすぐに利用できない場合は、入力検証の強化やWAFの導入などの緩和策を講じてください。

Q: CVE-2026-33292のwwbn/avideoの公式アドバイザリはどこで入手できますか？

wwbn/avideoの公式アドバイザリは、通常、ベンダーのセキュリティ情報ページで公開されます。CVE-2026-33292に関する情報を検索してください。

プラットフォーム

php

コンポーネント

wwbn/avideo

修正版

26.0.1

25.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33292は、wwbn/avideoのHLSストリーミングエンドポイント(view/hls.php)におけるパス・トラバーサル脆弱性です。この脆弱性により、認証されていない攻撃者は、許可なくプラットフォーム上の任意の動画をストリーミングできるようになります。影響を受けるバージョンは25.0以下です。バージョン26.0で修正が提供されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がvideoDirectory GETパラメータを悪用することで、認証を回避し、プラットフォーム上の任意の動画ファイルにアクセスすることを可能にします。特に、プライベート動画や有料動画も対象となり、機密情報や知的財産の漏洩につながる可能性があります。攻撃者は、この脆弱性を利用して、プラットフォーム上の他のユーザーの動画を不正にストリーミングしたり、プラットフォームの評判を損なう可能性があります。この攻撃は、認証をバイパスするsplit-oracleの条件を利用しており、類似の脆弱性と同様に、広範囲な影響を及ぼす可能性があります。

悪用の状況

このCVEは2026年3月19日に公開されました。現時点では、公的なPoCは確認されていませんが、パス・トラバーサル脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVへの登録状況は不明です。NVDの公開日を確認し、最新の情報を収集することが重要です。

リスク対象者翻訳中…

Organizations utilizing wwbn/avideo for video streaming, particularly those with private or paid content, are at risk. Shared hosting environments where multiple users share the same instance of wwbn/avideo are especially vulnerable, as an attacker could potentially exploit this vulnerability to access content belonging to other users.

検出手順翻訳中…

• php: Examine access logs for requests containing .. sequences in the videoDirectory parameter of the view/hls.php endpoint. • php: Search for code patterns related to divergent path handling of the videoDirectory parameter, specifically where one path truncates at / and another preserves .. sequences. • generic web: Use curl to test for path traversal by appending ../ sequences to the videoDirectory parameter and observing the response.

curl 'http://your-avideo-instance/view/hls.php?videoDirectory=../../../../etc/passwd'

攻撃タイムライン

2026-03-19Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.05% (15% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントwwbn/avideo

ベンダーosv

影響範囲修正版

< 26.0 – < 26.026.0.1

25.025.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-18
公開日2026-03-19
更新日2026-03-25
EPSS 更新日2026-03-30

公開後0日でパッチ適用

緩和策と回避策

バージョン26.0へのアップデートが推奨されます。アップデートがすぐに利用できない場合、一時的な緩和策として、videoDirectoryパラメータの入力検証を強化し、許可されたディレクトリのみへのアクセスを制限する必要があります。WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・ブロックするルールを設定することも有効です。また、アクセスログやエラーログを監視し、異常なアクセスパターンを検出することも重要です。アップデート後、動画ストリーミング機能が正常に動作することを確認してください。

修正方法翻訳中…

Actualice AVideo a la versión 26.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de path traversal en el endpoint HLS.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33292 — パス・トラバーサルはwwbn/avideoで何ですか？