プラットフォーム
php
コンポーネント
wwbn/avideo
修正版
26.0.1
26.0.1
CVE-2026-34731 は、wwbn/avideo の Live プラグインの onpublishdone.php エンドポイントにおける認証なしでライブストリームを終了できる脆弱性です。攻撃者は、認証なしで任意のライブストリームを停止させることができ、プラットフォーム全体のライブストリーミング機能に対するサービス拒否(DoS)攻撃を引き起こす可能性があります。この脆弱性は、wwbn/avideo バージョン 26.0 以前に影響を与えます。最新バージョンへのアップグレードでこの問題は修正されています。
この脆弱性を悪用すると、攻撃者は認証なしで onpublishdone.php エンドポイントに悪意のある POST リクエストを送信することで、任意のライブストリームを強制的に終了させることができます。攻撃者はまず、認証なしで利用可能なストリームキーを stats.json.php エンドポイントから列挙し、それを使用してライブストリームを停止させます。これにより、プラットフォーム上のすべてのライブストリーミング機能が利用できなくなる可能性があります。この攻撃は、大規模なイベントや重要な放送中に発生した場合、大きな影響を与える可能性があります。攻撃者は、ライブストリーミングサービスを完全に停止させ、ユーザーに混乱と不便をもたらす可能性があります。
CVE-2026-34731 は 2026年4月1日に公開されました。現時点では、この脆弱性を悪用する公開されている Proof-of-Concept (PoC) は確認されていません。EPSS スコアはまだ評価されていません。NVD および CISA の情報も現時点では利用できません。この脆弱性は、認証なしでライブストリームを停止できるため、潜在的なリスクとして認識されています。
Organizations and individuals using the wwbn/avideo Live plugin for live streaming are at risk, particularly those running versions 26.0 and below. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially impact all live streams on the server.
• php: Examine web server access logs for POST requests to onpublishdone.php originating from unusual or unauthorized IP addresses.
• php: Use grep to search plugin files for the onpublishdone.php endpoint and related code, looking for missing authentication checks.
• generic web: Monitor network traffic for POST requests to onpublishdone.php with potentially malicious payloads.
• generic web: Check response headers for unusual or unexpected behavior after sending requests to onpublishdone.php.
disclosure
エクスプロイト状況
EPSS
0.17% (38% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まず、wwbn/avideo を最新バージョンにアップグレードすることを強く推奨します。アップグレードが利用できない場合、一時的な緩和策として、WAF (Web Application Firewall) を導入し、onpublishdone.php エンドポイントへの不正な POST リクエストをブロックするように設定することを検討してください。また、stats.json.php エンドポイントへのアクセスを制限し、認証されたユーザーのみがアクセスできるようにすることで、攻撃者がストリームキーを列挙するのを防ぐことができます。アップグレード後、ライブストリームが正常に開始および終了することを確認することで、修正が適用されていることを検証してください。
公開時点ではパッチは利用できません。プラグイン Live を無効にすることを推奨します。脆弱性が修正されたアップデートが公開されるまで待つようにしてください。代替案として、on_publish_done.php エンドポイントに認証と認可を実装することで、未認証ユーザーがライブ配信を完了させることができないようにすることができます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-34731 は、wwbn/avideo の Live プラグインにおける認証なしでライブストリームを終了できる脆弱性です。攻撃者はライブストリームを停止させ、DoS 攻撃を引き起こす可能性があります。
wwbn/avideo のバージョンが 26.0 以前を使用している場合、この脆弱性の影響を受ける可能性があります。
wwbn/avideo を最新バージョンにアップグレードすることを強く推奨します。アップグレードができない場合は、WAF を導入して onpublishdone.php エンドポイントへの不正なリクエストをブロックしてください。
現時点では、この脆弱性を悪用する公開されている PoC は確認されていません。
NVD (National Vulnerability Database) や CISA (Cybersecurity and Infrastructure Security Agency) のウェブサイトで最新情報を確認してください。
CVSS ベクトル