MEDIUMCVE-2026-35181CVSS 4.3

WWBN AVideoは、admin/playerUpdate.json.php経由のPlayer Skin設定においてCSRFの影響を受けている

Q: CVE-2026-35181 — CSRF in AVideoとは何ですか？

CVE-2026-35181は、AVideoのバージョン0.0.0から26.0までのビデオプレイヤーのスキン設定エンドポイントにおけるCSRF脆弱性です。攻撃者はこの脆弱性を悪用して、ビデオプレイヤーの外観を不正に変更できます。

Q: CVE-2026-35181 in AVideoの影響はありますか？

はい、AVideoのバージョン0.0.0から26.0を使用している場合は、この脆弱性によりビデオプレイヤーの外観が改ざんされる可能性があります。

Q: CVE-2026-35181 in AVideoを修正するにはどうすればよいですか？

AVideoをバージョン26.1にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2026-35181は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、潜在的なセキュリティリスクとなります。

Q: CVE-2026-35181に関するAVideoの公式アドバイザリはどこで入手できますか？

AVideoの公式アドバイザリは、AVideoのウェブサイトまたは関連するセキュリティコミュニティで確認できます。

プラットフォーム

php

コンポーネント

avideo

修正版

26.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

AVideoはオープンソースのビデオプラットフォームです。CVE-2026-35181は、AVideoのバージョン0.0.0から26.0までのCSRF（クロスサイトリクエストフォージェリ）脆弱性です。この脆弱性により、攻撃者はビデオプレイヤーの外観をプラットフォーム全体で変更することが可能になります。バージョン26.1へのアップデートでこの脆弱性は修正されています。

影響と攻撃シナリオ

このCSRF脆弱性は、攻撃者が認証されたユーザーになりすまして、ビデオプレイヤーのスキン設定を不正に変更できることを意味します。これにより、ビデオプレイヤーの外観が改ざんされ、ユーザーエクスペリエンスが損なわれる可能性があります。さらに、悪意のある攻撃者は、ビデオプレイヤーに悪意のあるコードを挿入し、ユーザーがビデオを再生する際にそのコードが実行されるように仕組むことも可能です。この脆弱性は、SameSite=NoneのCookieと組み合わさることで、クロスオリジンPOST攻撃を可能にし、プラットフォーム全体のセキュリティリスクを高めます。

悪用の状況

この脆弱性は2026年4月6日に公開されました。現時点では、この脆弱性を悪用した公開されているPoC（Proof of Concept）は確認されていません。CISA KEVカタログへの登録状況は不明です。この脆弱性は、AVideoを導入している組織にとって、潜在的なセキュリティリスクとなります。

リスク対象者翻訳中…

Organizations and individuals using AVideo for hosting and streaming video content are at risk. Specifically, deployments with weak cookie security settings (SameSite=None) are more vulnerable. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk, as an attacker could potentially exploit the vulnerability on behalf of another user.

検出手順翻訳中…

• php: Examine web server access logs for suspicious POST requests to /admin/playerUpdate.json.php originating from unexpected IP addresses.

grep -i 'playerUpdate.json.php' /var/log/apache2/access.log | grep -i 'POST' | grep -v '127.0.0.1'

• php: Review AVideo configuration files for any instances of ignoreTableSecurityCheck() that might be disabling security checks.

grep -r ignoreTableSecurityCheck /var/www/avideo/

• generic web: Monitor for unusual changes in the video player's appearance across the platform, which could indicate a successful CSRF attack.

攻撃タイムライン

2026-04-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (3% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントavideo

ベンダーWWBN

影響範囲修正版

<= 26.0 – <= 26.026.0.1

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2026-04-01
公開日2026-04-06
更新日2026-04-07
EPSS 更新日2026-04-14

緩和策と回避策

この脆弱性への最も効果的な対策は、AVideoをバージョン26.1にアップデートすることです。アップデートが利用できない場合は、一時的な緩和策として、WAF（Web Application Firewall）を使用して、admin/playerUpdate.json.phpエンドポイントへの不正なリクエストをブロックすることを検討してください。また、CookieのSameSite属性をStrictまたはLaxに設定することで、CSRF攻撃のリスクを軽減できます。さらに、ビデオプレイヤーのスキン設定を定期的に監査し、不正な変更がないか確認することが重要です。

修正方法

CSRFの脆弱性を軽減するために、AVideoをバージョン26.1以降にアップデートしてください。このアップデートは、ビデオプレーヤー設定エンドポイントにおけるCSRFトークン検証の欠如を修正し、ビデオプレーヤーの外観への不正な変更を防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35181 — CSRF in AVideoとは何ですか？