プラットフォーム
php
コンポーネント
avideo
修正版
29.0.1
CVE-2026-40929は、AVideoのobjects/commentDelete.json.phpエンドポイントにおけるクロスサイトリクエストフォージェリ(CSRF)脆弱性です。この脆弱性により、認証された攻撃者は、被害者のセッションIDを利用して、被害者が権限を持つコメントを削除できます。影響を受けるバージョンは1.0.0から29.0までで、バージョン29.1で修正されています。
このCSRF脆弱性は、攻撃者が認証済みユーザーになりすまして、被害者が所有する動画のコメントを削除することを可能にします。攻撃者は、被害者がサイト管理者、動画所有者、またはコメント投稿者である場合に、この脆弱性を悪用できます。これにより、動画コンテンツの改ざん、評判の毀損、さらにはサービス妨害につながる可能性があります。AVideoがクロスオリジン埋め込みプレイヤーをサポートするためにsession.cookie_samesite=Noneを設定していることが、この脆弱性の悪用を容易にしています。
この脆弱性は、2026年4月21日に公開されました。現時点では、公開されているPoCは確認されていませんが、CSRF脆弱性であるため、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずAVideoをバージョン29.1以上にアップデートすることを推奨します。アップデートが困難な場合は、WAF(Web Application Firewall)を使用して、objects/commentDelete.json.phpエンドポイントへの不正なリクエストをブロックすることを検討してください。また、CSRFトークンを実装するか、Originヘッダーの検証を追加することで、攻撃のリスクを軽減できます。攻撃の兆候を検出するために、コメント削除リクエストのログを監視し、異常なパターンを特定してください。
AVideoをバージョン29.1以降にアップデートすることで、この脆弱性を軽減できます。このアップデートは、`objects/commentDelete.json.php`エンドポイントにおけるCSRF検証の欠如を修正し、攻撃者による大量のコメント削除を防ぎます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-40929は、AVideoのバージョン1.0.0から29.0までのコメント削除機能におけるクロスサイトリクエストフォージェリ(CSRF)脆弱性です。攻撃者は、この脆弱性を悪用して、被害者の権限を乗っ取り、コメントを削除できます。
AVideoのバージョン1.0.0から29.0を使用している場合は、この脆弱性の影響を受けています。バージョン29.1以上にアップデートすることで、脆弱性を修正できます。
AVideoをバージョン29.1以上にアップデートしてください。アップデートが難しい場合は、WAFを使用して不正なリクエストをブロックするか、CSRFトークンを実装することを検討してください。
現時点では、公開されているPoCは確認されていませんが、CSRF脆弱性であるため、攻撃者による悪用が懸念されます。
AVideoの公式アドバイザリは、AVideoのセキュリティページで確認できます。