プラットフォーム
php
コンポーネント
wwbn/avideo
修正版
26.0.1
26.0.1
CVE-2026-33681は、wwbn/avideoのobjects/pluginRunDatabaseScript.json.phpエンドポイントにおけるパストラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者は任意のinstall/install.sqlファイルをデータベースSQLクエリとして実行し、データベースへの不正アクセスや改ざんを引き起こす可能性があります。影響を受けるバージョンは26.0以下であり、最新バージョンへのアップデートでこの問題は解決されています。
この脆弱性は、認証された攻撃者がnameパラメータを操作することで、Plugin::getDatabaseFileName()関数を介してファイルシステム上の任意の場所にアクセスすることを可能にします。攻撃者は、install/install.sqlファイルの内容をデータベースに対して生のSQLクエリとして実行できます。これにより、データベース内の機密情報が漏洩したり、データベースが改ざんされたり、さらにはシステム全体が制御下に置かれる可能性があります。この攻撃は、CSRF(Cross-Site Request Forgery)攻撃によって悪用される可能性もあり、注意が必要です。類似の脆弱性は、SQLインジェクション攻撃につながる可能性があります。
このCVEは2026年3月25日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)カタログには登録されていません。公開されているPoC(Proof of Concept)は確認されていませんが、パストラバーサル脆弱性であるため、悪用される可能性は否定できません。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の脅威情報を把握することが重要です。
Organizations using wwbn/avideo in environments where administrators have access to the plugin management interface are at risk. Shared hosting environments where multiple users share the same server and database are particularly vulnerable, as an attacker could potentially exploit this vulnerability to compromise other users' data. Legacy configurations with outdated security practices are also at increased risk.
• php: Examine access logs for requests to objects/pluginRunDatabaseScript.json.php with unusual or potentially malicious values in the name parameter. Use grep to search for patterns like ../ or absolute paths.
grep 'pluginRunDatabaseScript.json.php.*../' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with various payloads, observing the response for errors or unexpected behavior.
curl -X POST -d 'name=../../../../etc/passwd' http://your-avideo-server/objects/pluginRunDatabaseScript.json.phpdisclosure
エクスプロイト状況
EPSS
0.05% (17% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まず、wwbn/avideoを最新バージョンにアップデートすることを推奨します。アップデートが利用できない場合、一時的な回避策として、objects/pluginRunDatabaseScript.json.phpへのアクセスを制限するWAF(Web Application Firewall)ルールを実装することを検討してください。また、入力値の検証を強化し、nameパラメータに対するパストラバーサル攻撃を防止するためのサニタイズ処理を実装することも有効です。データベースのアクセス権限を最小限に抑え、不要な権限を持つアカウントを削除することも重要です。アップデート後、データベースの整合性を確認し、不正な変更がないか確認してください。
Actualice AVideo a una versión posterior a la 26.0. La actualización corrige la vulnerabilidad de path traversal en el endpoint `pluginRunDatabaseScript.json.php`.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-33681は、wwbn/avideoのpluginRunDatabaseScript.json.phpエンドポイントにおけるパストラバーサル脆弱性であり、攻撃者が任意のファイルを読み取れる可能性があります。
はい、wwbn/avideoのバージョンが26.0以下の場合、この脆弱性の影響を受けます。
最新バージョンにアップデートすることが最も効果的な修正方法です。アップデートが難しい場合は、WAFルールによるアクセス制限などの回避策を検討してください。
現時点では、積極的な悪用事例は確認されていませんが、パストラバーサル脆弱性であるため、悪用される可能性は否定できません。
wwbn/avideoの公式ウェブサイトまたはセキュリティアドバイザリページで、CVE-2026-33681に関する情報を確認してください。
CVSS ベクトル