プラットフォーム
php
コンポーネント
avideo
修正版
26.0.1
CVE-2026-34374は、AVideoのバージョン26.0以下に存在するSQLインジェクションの脆弱性です。この脆弱性は、Live_schedule::keyExists()メソッドが、パラメータ化されていないSQLクエリを構築することによって発生します。これにより、攻撃者はSQLクエリを注入し、データベースへの不正アクセスや情報漏洩を引き起こす可能性があります。影響を受けるバージョンは26.0以下です。現時点では、この脆弱性に対する公式な修正パッチは提供されていません。
AVideoのオープンソースビデオプラットフォームにおけるCVE-2026-34374脆弱性は、Liveschedule::keyExists()メソッド内に存在します。26.0までのバージョンが影響を受けます。問題は、適切なパラメータ化なしにSQLクエリを構築することにあります。具体的には、ストリームキーがクエリ文字列に直接埋め込まれており、SQLインジェクションを可能にします。呼び出し関数であるLiveTransmition::keyExists()は、独自の検索にパラメータ化されたクエリを正しく使用していますが、Liveschedule::keyExists()へのフォールバックパスはそうではありません。攻撃者はこの脆弱性を悪用して、基盤となるデータベース上で任意のSQLコードを実行し、データ機密性と整合性を損なう可能性があります。CVSSスコアは9.1と評価されており、重大なリスクを示しています。修正プログラムの不在は状況を悪化させ、即時の対応が必要です。
CVE-2026-34374の悪用には、攻撃者がLiveschedule::keyExists()関数内で使用される入力を操作できる必要があります。これは、HTTPリクエストパラメータの操作やデータベースへの悪意のあるデータの挿入など、さまざまなベクトルを介して発生する可能性があります。LiveTransmition::keyExists()が結果を見つけられず、Liveschedule::keyExists()にフォールバックすると、この脆弱性がトリガーされます。攻撃者は、このフォールバックパスを強制する入力を作成し、SQLコードを挿入できるようになります。悪用の効果は、データベースの構成とAVideoアプリケーションで使用されるデータベースユーザーの権限に依存します。公式な修正プログラムがないため、データベースセキュリティが堅牢でない環境では、悪用のリスクが高まります。
Organizations utilizing AVideo version 26.0 or earlier, particularly those hosting the platform on shared hosting environments or with limited security controls, are at significant risk. Deployments relying on legacy configurations or custom integrations that interact with the Live_schedule::keyExists() method are also particularly vulnerable.
• php: Examine application logs for SQL errors or unusual database activity related to the Live_schedule::keyExists() method. Use a code scanner to identify instances of string concatenation used to build SQL queries.
• generic web: Monitor access logs for requests to endpoints associated with live scheduling functionality. Look for unusual characters or patterns in the request parameters that might indicate an injection attempt.
• database (mysql): Use mysql -e 'SHOW PROCESSLIST;' to monitor active database connections and identify any suspicious queries being executed. Review slow query logs for queries that take an unusually long time to execute, which could indicate an injection attack.
disclosure
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CISA SSVC
AVideoチームから公式な修正プログラムが提供されていないため、直近の軽減策は、26.0より前のAVideoバージョンを使用しないことです。アップグレードが不可能な場合は、データベース環境に追加のセキュリティ対策を実装することを強くお勧めします。これには、AVideoアプリケーションのデータベースアクセス権の制限、ネットワークトラフィックを制限するためのデータベースファイアウォールの実装、および疑わしいパターンを検出するためのデータベースアクティビティの監視が含まれます。さらに、Live_schedule::keyExists()のソースコードを確認し、SQLクエリに適切なパラメータ化を適用する必要があります。AVideoを使用しているユーザーは、開発チームに連絡して修正プログラムをリクエストし、セキュリティアップデートに関する情報を入手することをアドバイスします。
AVideo を、SQL インジェクションの脆弱性を修正したパッチが適用されたバージョンにアップデートしてください。公開時点ではパッチが適用されたバージョンは利用できないため、WWBN のセキュリティアップデートを監視し、パッチが利用可能になり次第適用することをお勧めします。一時的な対策として、SQL クエリに補間する前に、ストリームキーの厳密な検証を実装できます。
脆弱性分析と重要アラートをメールでお届けします。
AVideoは、ユーザーがビデオを作成、共有、視聴できるオープンソースのビデオプラットフォームです。
この脆弱性はSQLインジェクションを可能にし、攻撃者が機密情報にアクセスしたり、データベースを制御したりする可能性があります。
最新バージョン(26.0より大きい)にアップデートしてください。アップデートできない場合は、データベースに追加のセキュリティ対策を実装してください。
現在、AVideoチームは公式な修正プログラムを提供していません。最新情報を入手してください。
データベースへのアクセスを制限し、データベースファイアウォールを実装し、データベースアクティビティを監視してください。
CVSS ベクトル