WWBN AVideoは、サイトカスタマイズエンドポイントにおけるCSRFの影響を受け、Base64ファイル書き込みを介してロゴの上書きを可能にする

このCSRF脆弱性は、攻撃者が認証されたユーザーになりすまして、AVideoプラットフォームのロゴを攻撃者制御のコンテンツで上書きすることを可能にします。これにより、プラットフォームのブランドイメージが損なわれるだけでなく、悪意のあるコンテンツをユーザーに表示させるための足がかりとなる可能性があります。SameSite=NoneのCookieポリシーと組み合わせることで、クロスオリジンPOST攻撃が可能となり、攻撃の影響範囲が広がります。この脆弱性は、プラットフォームの信頼性を大きく損なう可能性があります。

Organizations and individuals using WWBN AVideo versions 1.0.0 through 26.0 are at risk, particularly those with publicly accessible admin interfaces or those who have not implemented robust access controls to the admin panel. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk.

• php: Examine access logs for POST requests to /admin/customizesettingsnativeUpdate.json.php originating from unexpected sources or without proper CSRF tokens.

grep -i 'POST /admin/customize_settings_nativeUpdate.json.php' access.log | grep -i 'Referer:'

1. 2026-04-06Disclosure

   disclosure

1. 予約済み2026-04-01
2. 公開日2026-04-06
3. 更新日2026-04-07
4. EPSS 更新日2026-04-14

この脆弱性への対応として、まずAVideoプラットフォームをバージョン26.1以上にアップデートすることを強く推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、CSRFトークン検証を強化するルールを設定することを検討してください。また、カスタマイズ設定エンドポイントへのアクセスを制限するなどの設定変更も有効です。アップデート後、プラットフォームのロゴが正常に表示されていることを確認し、脆弱性が解消されていることを検証してください。