プラットフォーム
php
コンポーネント
wwbn/avideo
修正版
26.0.1
26.0.1
AVideoのビデオ処理パイプラインにおいて、overrideStatusリクエストパラメータを介して、アップローダーはビデオの状態を任意の有効な状態(「active」(a)を含む)に設定できます。これにより、管理者が制御するモデレーションとドラフトワークフローを回避できます。setStatus()メソッドは、ステータスコードを既知の値のリストに対して検証しますが、そのステータスを設定する権限が呼び出し元にあるかどうかは検証しません。その結果、アップロード権限を持つユーザーは、コンテンツレビュープロセスを回避してビデオを直接公開できます。
この脆弱性を悪用すると、認証されたアップローダーは、管理者の承認なしにビデオを「active」状態に直接変更できます。これは、コンテンツレビュープロセスを完全にバイパスすることを意味します。攻撃者は、未承認のコンテンツを公開し、プラットフォームの信頼性を損なう可能性があります。悪用されると、不適切なコンテンツ、マルウェア、またはその他の有害な素材がユーザーに公開されるリスクがあります。この脆弱性は、特にコンテンツモデレーションが重要なプラットフォームにおいて、広範囲に影響を及ぼす可能性があります。攻撃者は、この脆弱性を利用して、大量の未承認ビデオを公開し、プラットフォームの運営を妨害する可能性があります。
このCVEは2026年4月1日に公開されました。現時点では、この脆弱性を悪用した既知の攻撃キャンペーンに関する情報は公開されていません。しかし、この脆弱性が公開されているため、将来的に悪用される可能性はあります。EPSSスコアは、現時点では利用できません。NVDおよびCISAのデータベースを監視し、最新の情報を入手することをお勧めします。
エクスプロイト状況
EPSS
0.03% (7% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、AVideoのバージョンを26.0より新しいパッチバージョンにアップグレードすることを強く推奨します。アップグレードが利用できない場合は、アップロード機能に対するアクセス制御を強化し、ビデオの状態変更を厳密に検証するカスタムのセキュリティ対策を実装することを検討してください。WAF(Web Application Firewall)を使用して、悪意のあるoverrideStatusリクエストをブロックすることも有効です。また、ビデオの公開前に、手動によるレビュープロセスを導入することも、リスクを軽減するのに役立ちます。アップグレード後、ビデオの状態変更が適切に制限されていることを確認してください。
Actualizar AVideo a una versión posterior a la 26.0, una vez que se publique un parche. Como medida temporal, revisar y moderar manualmente todos los videos subidos para asegurar que el contenido sea apropiado antes de publicarlo.
脆弱性分析と重要アラートをメールでお届けします。
これは、AVideoのビデオ処理パイプラインにおける、ビデオの状態を不正に変更できる脆弱性です。アップローダーは、管理者の承認なしにビデオを「active」状態に直接変更できます。
AVideoのバージョンが26.0以下を使用している場合は、影響を受ける可能性があります。バージョンを最新に更新することを強く推奨します。
AVideoのバージョンを26.0より新しいパッチバージョンにアップグレードしてください。アップグレードが利用できない場合は、アクセス制御を強化し、カスタムのセキュリティ対策を実装してください。
現時点では、この脆弱性を悪用した既知の攻撃キャンペーンに関する情報は公開されていませんが、将来的に悪用される可能性はあります。
NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)のデータベースを監視し、最新の情報を入手してください。
CVSS ベクトル