MEDIUMCVE-2026-34611CVSS 6.5

AVideo: emailAllUsers.json.phpにおけるCSRFにより、全ユーザーに対して大量のフィッシングメールを送信可能

Q: CVE-2026-34611 — CSRF in wwbn/avideoとは何ですか？

CVE-2026-34611は、wwbn/avideoの`objects/emailAllUsers.json.php`エンドポイントにおけるクロスサイトリクエストフォージェリ（CSRF）の脆弱性です。攻撃者は、管理者を欺き、すべてのユーザーに悪意のあるHTMLメールを送信できます。

Q: CVE-2026-34611 in wwbn/avideoの影響はありますか？

はい、wwbn/avideoのバージョンが26.0以下を使用している場合は影響を受けます。攻撃者は、管理者の権限を悪用して、すべてのユーザーに悪意のあるメールを送信する可能性があります。

Q: CVE-2026-34611 in wwbn/avideoを修正するにはどうすればよいですか？

wwbn/avideoを最新バージョンにアップグレードしてください。アップグレードが困難な場合は、CSRFトークン検証のカスタムセキュリティ層を追加することを検討してください。

Q: CVE-2026-34611は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、CSRF脆弱性であるため、悪用される可能性はあります。

Q: CVE-2026-34611に関するwwbn/avideoの公式アドバイザリはどこで入手できますか？

wwbn/avideoの公式ウェブサイトまたはセキュリティページで、CVE-2026-34611に関するアドバイザリをご確認ください。

プラットフォーム

php

コンポーネント

wwbn/avideo

修正版

26.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-34611は、wwbn/avideoのobjects/emailAllUsers.json.phpエンドポイントに存在するクロスサイトリクエストフォージェリ（CSRF）の脆弱性です。この脆弱性を悪用されると、攻撃者は管理者を欺き、すべての登録ユーザーにHTMLメールを送信することが可能です。影響を受けるバージョンは26.0以下です。2026年4月1日に公開され、最新バージョンへのアップグレードによって修正されています。

影響と攻撃シナリオ

このCSRF脆弱性は、攻撃者が管理者の権限を悪用し、すべてのユーザーに悪意のあるHTMLメールを送信することを可能にします。メールの内容は完全に攻撃者によって制御されるため、フィッシング詐欺、マルウェアの拡散、または機密情報の窃取といった攻撃に利用される可能性があります。特に、AVideoの管理者が頻繁にメール機能を使用している場合、攻撃者は管理者を騙しやすく、広範囲な影響を及ぼす可能性があります。この脆弱性は、類似のCSRF攻撃と同様に、ユーザーの信頼を損ない、プラットフォーム全体のセキュリティを脅かす重大なリスクとなります。

悪用の状況

CVE-2026-34611は、2026年4月1日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、CSRF脆弱性であるため、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。この脆弱性は、管理者の操作を悪用するため、攻撃成功の確率は比較的高いと考えられます。

リスク対象者翻訳中…

Organizations and individuals using wwbn/avideo versions 26.0 and earlier are at risk. This includes platforms deployed in shared hosting environments, as well as those with legacy configurations that may not have robust security controls in place. Administrators of AVideo instances are particularly vulnerable, as they are the primary targets of this attack.

検出手順翻訳中…

• php / web:

grep -r 'objects/emailAllUsers.json.php' /var/www/avideo/

• php / web:

curl -I https://your-avideo-instance.com/objects/emailAllUsers.json.php | grep 'SameSite'

• generic web: Inspect the HTML source code of AVideo pages for any suspicious forms or scripts that could be used to trigger the email functionality without proper CSRF protection.

攻撃タイムライン

2026-04-01Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.02% (3% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントwwbn/avideo

ベンダーosv

影響範囲修正版

<= 26.0 – <= 26.026.0.1

26.026.0.1

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2026-03-30
公開日2026-04-01
EPSS 更新日2026-04-08

未パッチ — 公開から53日経過

緩和策と回避策

この脆弱性への対応策として、まず、wwbn/avideoを最新バージョンにアップグレードすることを推奨します。アップグレードが困難な場合は、一時的な回避策として、管理者がAVideoの管理画面にアクセスする際に、CSRFトークンを検証するカスタムのセキュリティ層を追加することを検討してください。また、WAF（Web Application Firewall）を導入し、CSRF攻撃のパターンを検知・ブロックするルールを設定することも有効です。さらに、管理者にセキュリティ意識向上トレーニングを実施し、不審なリンクやウェブサイトへのアクセスを避けるよう指導することが重要です。アップグレード後、CSRFトークンが正しく検証されていることを確認してください。

修正方法

パッチが利用可能になったら、AVideoを26.0より後のバージョンにアップデートしてください。一時的な対策として、Cross-Site Request Forgery攻撃を防ぐために、objects/emailAllUsers.json.phpエンドポイントにCSRF検証を実装してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-34611 — CSRF in wwbn/avideoとは何ですか？

CVE-2026-34611は、wwbn/avideoのobjects/emailAllUsers.json.phpエンドポイントにおけるクロスサイトリクエストフォージェリ（CSRF）の脆弱性です。攻撃者は、管理者を欺き、すべてのユーザーに悪意のあるHTMLメールを送信できます。

CVE-2026-34611 in wwbn/avideoの影響はありますか？