CRITICALCVE-2026-33351CVSS 9.1

AVideo に `webSiteRootURL` パラメータを介した認証なし SSRF が存在します (saveDVR.json.php 内)、検証バイパスへのチェーン

Q: CVE-2026-33351 — SSRF in AVideo Live Pluginとは何ですか？

CVE-2026-33351は、AVideo Liveプラグインの`saveDVR.json.php`ファイルにおけるサーバーサイドリクエスト偽装（SSRF）の脆弱性です。攻撃者はこの脆弱性を悪用して、サーバーを介して任意のURLへのリクエストを送信できます。

Q: CVE-2026-33351 in AVideo Live Pluginの影響はありますか？

AVideo Liveプラグインのバージョン26.0以前を使用している場合、この脆弱性の影響を受ける可能性があります。攻撃者は内部ネットワーク上の機密情報にアクセスしたり、他のシステムへの攻撃を仕掛けたりする可能性があります。

Q: CVE-2026-33351 in AVideo Live Pluginを修正するにはどうすればよいですか？

この脆弱性を修正するには、AVideo Liveプラグインをバージョン26.0にアップデートすることを推奨します。アップデートが困難な場合は、WAFを導入するなど、他の緩和策を検討してください。

Q: CVE-2026-33351に関するAVideo Live Pluginの公式アドバイザリはどこで入手できますか？

AVideo Live Pluginの公式アドバイザリは、AVideoのウェブサイトで確認できます。

プラットフォーム

php

コンポーネント

wwbn/avideo

修正版

26.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

AVideo LiveプラグインのsaveDVR.json.phpファイルに、サーバーサイドリクエスト偽装（SSRF）の脆弱性が存在します。この脆弱性を悪用されると、攻撃者はサーバーを介して任意のURLへのリクエストを送信し、機密情報へのアクセスや、内部ネットワークへの侵入を試みることが可能になります。影響を受けるバージョンは26.0以前であり、バージョン26.0へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者にとって非常に危険です。攻撃者は、内部ネットワーク上の機密情報（データベース、APIエンドポイントなど）にアクセスしたり、他のシステムへの攻撃を仕掛けたりする可能性があります。例えば、内部の管理コンソールにアクセスして設定を変更したり、他のサーバーに対してブルートフォース攻撃を仕掛けたりすることが考えられます。この脆弱性は、認証やオリジン検証、URL許可リストのチェックが不十分なために発生しており、攻撃者はwebSiteRootURLパラメータを操作することで任意のURLをリクエストできます。この脆弱性の影響範囲は広範囲に及び、機密情報の漏洩やシステムの乗っ取りにつながる可能性があります。

悪用の状況

この脆弱性は、2026年3月19日に公開されました。現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は悪用が容易であるため、今後の攻撃の可能性は高いと考えられます。CISA KEVカタログへの登録状況は不明です。この脆弱性は、他のSSRF脆弱性と同様に、内部ネットワークへのアクセス権を得るための足がかりとして悪用される可能性があります。

リスク対象者翻訳中…

Organizations utilizing the AVideo Live plugin in standalone mode are particularly at risk. This includes deployments where the plugin is used to stream live video content and requires direct access to internal resources for configuration or data storage. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised plugin instance could potentially be used to attack other users on the same server.

検出手順翻訳中…

• php: Examine access logs for requests to plugin/Live/standAloneFiles/saveDVR.json.php with unusual values in the webSiteRootURL parameter. Look for requests using protocols like file:// or gopher://.

grep 'saveDVR.json.php.*webSiteRootURL=' /var/log/apache2/access.log

• generic web: Use curl to test the endpoint with a crafted webSiteRootURL parameter pointing to an internal resource. Verify that the server attempts to access the resource.

curl 'http://your-avideo-server/plugin/Live/standAloneFiles/saveDVR.json.php?webSiteRootURL=http://localhost/sensitive_data' -s

攻撃タイムライン

2026-03-19Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.08% (24% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントwwbn/avideo

ベンダーosv

影響範囲修正版

< 26.0 – < 26.026.0.1

26.026.0.1

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-03-18
公開日2026-03-19
更新日2026-03-25
EPSS 更新日2026-03-31

公開後0日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、まずAVideo Liveプラグインをバージョン26.0にアップデートすることを推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、filegetcontents()関数が使用されるURLを検証するルールを設定することで、攻撃を軽減できます。また、webSiteRootURLパラメータの入力を厳密に検証し、許可されたドメインのみへのアクセスを制限することも有効です。さらに、ログ監視を強化し、異常なURLリクエストを検知するためのルールを実装することも重要です。アップデート後、プラグインの動作を確認し、SSRF攻撃の兆候がないことを確認してください。

修正方法

AVideo をバージョン 26.0 以降にアップデートしてください。このバージョンには、Live プラグインの SSRF 脆弱性に対する修正が含まれています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33351 — SSRF in AVideo Live Pluginとは何ですか？

CVE-2026-33351は、AVideo LiveプラグインのsaveDVR.json.phpファイルにおけるサーバーサイドリクエスト偽装（SSRF）の脆弱性です。攻撃者はこの脆弱性を悪用して、サーバーを介して任意のURLへのリクエストを送信できます。

CVE-2026-33351 in AVideo Live Pluginの影響はありますか？