MEDIUMCVE-2026-35450CVSS 5.3

CVE-2026-35450: 情報漏洩 in wwbn/avideo

Q: CVE-2026-35450 in wwbn/avideoに影響を受けますか？

wwbn/avideoのバージョンが26.0以下の場合、この脆弱性に影響を受けます。バージョン26.1へのアップデートが必要です。

Q: CVE-2026-35450 in wwbn/avideoを修正するにはどうすればよいですか？

バージョン26.1へのアップデートが推奨されます。アップデートが困難な場合は、WAFやプロキシでエンドポイントへのアクセスを遮断するなどの回避策を講じてください。

Q: CVE-2026-35450は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪用される可能性はあります。

Q: CVE-2026-35450に関するwwbn/avideoの公式アドバイザリはどこで入手できますか？

wwbn/avideoの公式ウェブサイトまたはセキュリティアナウンスメントをご確認ください。

プラットフォーム

php

コンポーネント

wwbn/avideo

修正版

26.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-35450は、wwbn/avideoのplugin/API/check.ffmpeg.json.phpエンドポイントにおける認証なしの情報漏洩脆弱性です。この脆弱性を悪用されると、攻撃者はリモートFFmpegサーバーの設定情報を取得し、機密情報を盗み出す可能性があります。影響を受けるバージョンは26.0以下です。バージョン26.1で修正されています。

影響と攻撃シナリオ

この脆弱性は、認証なしでFFmpegリモートサーバーの設定情報を公開するため、攻撃者は容易に機密情報を取得できます。具体的には、FFmpegの設定ファイルの内容、リモートサーバーの接続情報などが漏洩する可能性があります。これらの情報が悪用されると、さらなる攻撃への足がかりとなり、システム全体のセキュリティが脅かされる可能性があります。特に、FFmpegを外部システムと連携させている場合、攻撃の影響範囲は広がる可能性があります。

悪用の状況

本脆弱性は、2026年4月4日に公開されました。現時点では、公開されているPoCは確認されていませんが、認証なしで機密情報を取得できるため、悪用される可能性はあります。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

Organizations utilizing wwbn/avideo in environments where FFmpeg is used for media processing are at risk. This is particularly relevant for deployments with limited network segmentation or where the web server is exposed to the public internet. Shared hosting environments using wwbn/avideo are also at increased risk due to the potential for cross-tenant access.

検出手順翻訳中…

• php: Examine web server access logs for requests to plugin/API/check.ffmpeg.json.php originating from unexpected IP addresses.

grep "/plugin/API/check.ffmpeg.json.php" /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -nr

• generic web: Use curl to test the endpoint's accessibility without authentication.

curl http://<your_avideo_server>/plugin/API/check.ffmpeg.json.php

• php: Review the plugin/API/ directory for other endpoints lacking authentication checks, particularly those related to system configuration or management.

攻撃タイムライン

2026-04-04Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.04% (12% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwwbn/avideo

ベンダーosv

影響範囲修正版

<= 26.0 – <= 26.026.0.1

26.026.0.1

弱点分類 (CWE)

CWE-306

タイムライン

予約済み2026-04-02
公開日2026-04-04
更新日2026-04-07
EPSS 更新日2026-04-14

緩和策と回避策

バージョン26.1へのアップデートが推奨されます。アップデートが困難な場合は、plugin/API/check.ffmpeg.json.phpエンドポイントへのアクセスをWAFやプロキシで遮断する、またはファイルアクセス権限を制限するなどの回避策を講じてください。また、FFmpegの設定ファイルの内容を定期的に監査し、不要な情報が含まれていないか確認することも重要です。アップデート後、システムにアクセスし、脆弱性が修正されていることを確認してください。

修正方法

AVideo プラグインをバージョン 26.1 以降にアップデートすることで、脆弱性を軽減してください。このアップデートは、check.ffmpeg.json.php エンドポイントにおける認証の欠如を修正し、FFmpeg サーバーの構成情報の不正な開示を防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問