AVideoにおいて、CloneSiteのdeleteDumpパラメータにおけるパス・トラバーサルにより任意のファイル削除の影響を受ける

この脆弱性は、認証済み攻撃者がcloneServer.json.phpのdeleteDumpパラメータにパストラバーサルシーケンス（例：../../）を挿入することで、サーバー上の任意のファイルを削除できることを意味します。攻撃者は、重要なアプリケーションファイル（例：configuration.php）を削除することで、完全なサービス拒否を引き起こすことができます。さらに、セキュリティクリティカルなファイルを削除することで、さらなる攻撃を可能にする可能性があります。この脆弱性は、攻撃者がシステムへのアクセスを維持し、機密情報を盗むための足がかりとなる可能性があります。

Organizations utilizing wwbn/avideo versions 25.0 and earlier, particularly those with publicly accessible clone functionality, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to impact other users' data and configurations.

• wordpress / composer / npm:

grep -r 'unlink($_GET["deleteDump"]);' /var/www/avideo/

• generic web:

curl -I 'http://your-avideo-site.com/plugin/CloneSite/cloneServer.json.php?deleteDump=../../../../etc/passwd' | grep '403 Forbidden'

1. 2026-03-19Disclosure

   disclosure

1. 予約済み2026-03-18
2. 公開日2026-03-19
3. 更新日2026-03-25
4. EPSS 更新日2026-03-30

この脆弱性への最も効果的な対策は、wwbn/avideoをバージョン26.0にアップグレードすることです。アップグレードがシステムに影響を与える場合は、一時的な回避策として、WAF（Web Application Firewall）またはプロキシサーバーで、plugin/CloneSite/cloneServer.json.phpファイルへのアクセスを制限するルールを実装することを検討してください。また、deleteDumpパラメータの入力を厳密に検証し、パストラバーサルシーケンスをブロックする入力検証ルールを追加することも有効です。アップグレード後、cloneServer.json.phpファイルへのアクセスを試み、ファイルが存在しないことを確認してください。