CRITICALCVE-2026-33867CVSS 9.5

AVideo は、プレーンテキストのビデオパスワードストレージを持つ

Q: CVE-2026-33867 とは何ですか？（wwbn/avideo の SQL Injection）

データベースへのアクセスを制限し、セキュリティ構成をレビューし、より安全なソリューションへの移行を検討してください。

Q: wwbn/avideo の CVE-2026-33867 による影響を受けていますか？

現在、この脆弱性に対する公式パッチはありません。

Q: wwbn/avideo の CVE-2026-33867 を修正するにはどうすればよいですか？

厳格なアクセス制御を実装し、バックアップを監査し、データベースアクティビティを監視してください。

Q: CVE-2026-33867 は積極的に悪用されていますか？

これは、攻撃者が機密情報にアクセスするためにデータベースクエリを操作することを可能にする攻撃技術です。

Q: CVE-2026-33867 に関する wwbn/avideo の公式アドバイザリはどこで確認できますか？

これは、パスワードが暗号化されておらず、いかなる方法でも保護されていないことを意味し、データベースが侵害された場合、簡単にアクセスできるようになります。

プラットフォーム

php

コンポーネント

wwbn/avideo

修正版

26.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33867は、AVideoにおける平文パスワード漏洩の脆弱性です。この脆弱性により、動画のパスワードがデータベースに平文で保存されます。攻撃者がデータベースへのアクセス権を得た場合、すべての動画パスワードを入手できます。影響を受けるバージョンは不明です。公式パッチは提供されていません。

影響と攻撃シナリオ

AVideoのCVE-2026-33867は、パスワードで保護されたビデオに重大なリスクをもたらします。システムは、暗号化、ハッシュ化、またはソルト化を適用せずに、ビデオのパスワードをデータベースに直接保存します。つまり、攻撃者がSQLインジェクション、侵害されたバックアップ、または誤ったアクセス制御を介してデータベースにアクセスした場合、すべてのビデオパスワードをプレーンテキストで取得できます。影響は深刻であり、保護されたコンテンツへの不正アクセスを可能にし、ユーザーとコンテンツクリエーターのプライバシーとセキュリティを損なう可能性があります。利用可能なパッチがないことは状況を悪化させ、即時の軽減策を必要とします。

悪用の状況

この脆弱性の悪用には、AVideoデータベースへのアクセスが必要です。攻撃者は、SQLインジェクションを試行してクエリを操作し、パスワードを直接抽出する可能性があります。保護されていないデータベースバックアップを侵害することもベクターになる可能性があります。不正アクセスを許可するデータベース権限の誤った構成も悪用される可能性があります。攻撃者がデータベースにアクセスすると、ビデオパスワードをプレーンテキストで読み取ることができ、実際のパスワードなしで保護されたコンテンツにアクセスできるようになります。

リスク対象者翻訳中…

Content owners and platforms utilizing wwbn/avideo to manage and protect video content are at significant risk. Specifically, those relying on the default password protection mechanism without implementing additional security measures are most vulnerable. Shared hosting environments where multiple users share a database are also at increased risk.

検出手順翻訳中…

• php: Examine the objects/video.php file for the vulnerable setVideo_password function. Search database tables for plaintext video password storage.

grep -r 'video_password' /path/to/avideo/objects/

• database (mysql): Query the database to check for plaintext video passwords.

SELECT video_password FROM videos WHERE video_password IS NOT NULL AND video_password != '';

• generic web: Monitor database access logs for unusual activity or unauthorized access attempts.

攻撃タイムライン

2026-03-26Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート2 件の脅威レポート

EPSS

0.01% (3% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントwwbn/avideo

ベンダーosv

影響範囲修正版

<= 26.0 – <= 26.026.0.1

26.026.0.1

弱点分類 (CWE)

CWE-312

タイムライン

予約済み2026-03-24
公開日2026-03-26
更新日2026-03-27
EPSS 更新日2026-04-04

未パッチ — 公開から59日経過

緩和策と回避策

CVE-2026-33867の公式パッチがないため、即時の軽減策はAVideoデータベースの保護に焦点を当てています。厳格なアクセス制御を実装し、SQLインジェクションのような脆弱性を防ぐためにセキュリティ構成をレビューすることを強くお勧めします。データベースのバックアップを定期的に監査し、不正アクセスから保護されていることを確認することが重要です。暗号化、ソルト化されたハッシュ化などの安全なパスワードストレージを実装するビデオ管理ソリューションへの移行は、長期的なソリューションです。疑わしいアクセスを監視してデータベースアクティビティを監視することも推奨されるプラクティスです。

修正方法

AVideo を 26.0 以降のバージョンに更新してください。これにより、プレーンテキストでのビデオパスワードの保存に関する問題が解決されます。更新には、パスワードのより安全な保存方法を実装するパッチが含まれています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33867 とは何ですか？（wwbn/avideo の SQL Injection）