HIGHCVE-2026-33493CVSS 7.1

AVideoにおいてimport.json.phpにパス・トラバーサル脆弱性があり、fileURIパラメータを介してプライベート動画の窃盗と任意のファイル読み取り/削除を可能にする

Q: CVE-2026-33493 — パストラバーサルはwwbn/avideoで何ですか？

CVE-2026-33493は、wwbn/avideoの`objects/import.json.php`エンドポイントにおけるパストラバーサル脆弱性であり、認証された攻撃者がファイルシステム上の任意のファイルにアクセスできる可能性があります。

Q: CVE-2026-33493でwwbn/avideoを使用しています。影響を受けますか？

はい、wwbn/avideoのバージョンが26.0以下の場合、この脆弱性の影響を受けます。最新バージョンへのアップグレードを推奨します。

Q: CVE-2026-33493でwwbn/avideoを修正するにはどうすればよいですか？

この脆弱性の修正には、wwbn/avideoを最新バージョンにアップグレードすることが推奨されます。アップグレードが困難な場合は、WAFルールを実装するなど、緩和策を検討してください。

Q: CVE-2026-33493のwwbn/avideo公式アドバイザリはどこで入手できますか？

wwbn/avideoの公式アドバイザリは、wwbnのセキュリティ情報ページで確認できます。

プラットフォーム

php

コンポーネント

wwbn/avideo

修正版

26.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33493は、wwbn/avideoのobjects/import.json.phpエンドポイントにおけるパストラバーサル脆弱性です。この脆弱性により、認証された攻撃者は、ファイルシステム上の任意のファイルにアクセスできる可能性があります。影響を受けるバージョンは26.0以下です。2026年3月20日に公開され、最新バージョンへのアップグレードで修正されています。

影響と攻撃シナリオ

この脆弱性は、認証された攻撃者がfileURIパラメータを操作することで、ファイルシステム上の任意のファイルにアクセスすることを可能にします。攻撃者は、他のユーザーのプライベートビデオファイルを盗んだり、.txt、.html、.htmファイルなどの機密情報を読み取ることができます。この脆弱性の悪用は、機密情報の漏洩、不正アクセス、および潜在的なシステムへの損害につながる可能性があります。類似の脆弱性は、ファイルアップロード機能を持つWebアプリケーションで頻繁に見られます。

悪用の状況

CVE-2026-33493は、2026年3月20日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、パストラバーサル脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Organizations using wwbn/avideo for video management, particularly those with shared hosting environments or legacy configurations, are at risk. Users with upload permissions within the application are especially vulnerable, as they are the ones who can exploit this vulnerability to access sensitive files.

検出手順翻訳中…

• php / server:

grep -r 'fileURI' /var/www/avideo/

• php / server:

find /var/www/avideo/ -name 'import.json.php'

• generic web:

curl -I http://your-avideo-server/objects/import.json.php?fileURI=../../../../etc/passwd

攻撃タイムライン

2026-03-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.08% (23% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントwwbn/avideo

ベンダーosv

影響範囲修正版

<= 26.0 – <= 26.026.0.1

26.026.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-20
公開日2026-03-20
更新日2026-03-25
EPSS 更新日2026-03-31

未パッチ — 公開から65日経過

緩和策と回避策

この脆弱性への対応策として、まずwwbn/avideoを最新バージョンにアップグレードすることを強く推奨します。アップグレードが困難な場合は、WAF（Web Application Firewall）を使用してobjects/import.json.phpエンドポイントへのアクセスを制限するルールを実装することを検討してください。また、ファイルアップロード機能の入力検証を強化し、許可されたファイルの種類と拡張子のみを受け入れるように設定することも有効です。さらに、ファイルシステムへのアクセス権を最小限に抑え、不要なファイルの読み取りを防止することが重要です。アップグレード後、import.json.phpへの不正なパスアクセスを試みることで修正を確認してください。

修正方法翻訳中…

Actualice AVideo a una versión posterior a la 26.0. La vulnerabilidad se soluciona en el commit e110ff542acdd7e3b81bdd02b8402b9f6a61ad78. Esto evitará el recorrido de directorios y la posible lectura/eliminación de archivos arbitrarios.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33493 — パストラバーサルはwwbn/avideoで何ですか？

CVE-2026-33493は、wwbn/avideoのobjects/import.json.phpエンドポイントにおけるパストラバーサル脆弱性であり、認証された攻撃者がファイルシステム上の任意のファイルにアクセスできる可能性があります。

CVE-2026-33493でwwbn/avideoを使用しています。影響を受けますか？