CVE-2026-34732: データリストの脆弱性 in wwbn/avideo

この脆弱性を悪用されると、攻撃者は認証なしでlist.json.phpテンプレートを通じて機密データにアクセスできます。攻撃者は、ユーザーの個人情報（PII）、決済トランザクションログ、IPアドレス、ユーザーエージェント、内部システムレコードなどの情報を窃取し、不正アクセスやデータ漏洩に繋げる可能性があります。特に、決済トランザクションログが漏洩した場合、クレジットカード情報などの機密情報が漏洩するリスクがあり、甚大な被害をもたらす可能性があります。この脆弱性は、類似のテンプレートインジェクション攻撃と同様のパターンで悪用される可能性があります。

Organizations using wwbn/avideo versions 26.0 and earlier, particularly those with publicly accessible instances or those handling sensitive user data, are at significant risk. Shared hosting environments where multiple users share the same instance are also particularly vulnerable, as an attacker could potentially exploit this vulnerability to access data belonging to other users.

• php: Examine list.json.php for the absence of authentication checks within the CreatePlugin template. Use grep to search for the template code without authentication logic.

grep -r 'CreatePlugin' /path/to/avideo/list.json.php | grep -v 'authentication'

• generic web: Monitor access logs for requests to list.json.php originating from unexpected or unauthorized IP addresses. Look for patterns of repeated requests to the same endpoint.

 grep "/list.json.php" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c

• generic web: Check response headers for unusual or unexpected content that might indicate data leakage. Use curl to inspect the headers.

curl -I https://your-avideo-instance/list.json.php

1. 2026-04-01Disclosure

   disclosure

1. 予約済み2026-03-30
2. 公開日2026-04-01
3. EPSS 更新日2026-04-08

この脆弱性への対応策として、まず、wwbn/avideoを最新バージョンにアップグレードすることが最も効果的です。アップグレードが困難な場合は、WAF（Web Application Firewall）やリバースプロキシを設定し、list.json.phpへの不正なアクセスをブロックすることを検討してください。また、アクセスログを監視し、異常なアクセスパターンを検知するためのルールを実装することも有効です。アップグレード後、list.json.phpへのアクセスを試み、認証が必要であることを確認することで、修正が正しく適用されていることを検証できます。