HIGHCVE-2026-41060CVSS 7.7

WWBN AVideoにおいて、代替ポートを使用した同一ドメインホスト名によるSSRF (SSRF) バイパスがisSSRFSafeURLで発生します。

Q: CVE-2026-41060 — SSRF in AVideoとは何ですか？

CVE-2026-41060は、AVideoの`isSSRFSafeURL()`関数に存在するSSRF脆弱性です。ホスト名チェックの不備により、任意のポートへのアクセスが可能となり、機密情報漏洩のリスクがあります。

Q: CVE-2026-41060 in AVideoに影響を受けますか？

AVideoのバージョンが1.0.0から29.0の場合、この脆弱性の影響を受けます。バージョン29.1以降にアップデートすることで、脆弱性は修正されます。

Q: CVE-2026-41060 in AVideoを修正するにはどうすればよいですか？

AVideoをバージョン29.1以降にアップデートしてください。アップデートが難しい場合は、WAFによる対策や、`webSiteRootURL`の設定制限を検討してください。

Q: CVE-2026-41060は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開PoCは確認されていませんが、SSRF脆弱性は悪用が容易であるため、注意が必要です。

Q: CVE-2026-41060に関するAVideoの公式アドバイザリはどこで入手できますか？

AVideoの公式アドバイザリは、AVideoのセキュリティ情報ページで確認できます。具体的なURLは、AVideoのドキュメントを参照してください。

プラットフォーム

php

コンポーネント

avideo

修正版

29.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-41060は、AVideoのisSSRFSafeURL()関数に存在するサーバーサイドリクエストフォワード（SSRF）脆弱性です。この脆弱性は、ホスト名の比較においてポート番号が無視されるため、攻撃者はAVideoサーバーの任意のポートにアクセスし、機密情報を漏洩する可能性があります。影響を受けるバージョンは1.0.0から29.0までで、バージョン29.1で修正されています。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者はAVideoサーバーの内部ネットワークリソースや、外部の機密情報にアクセスする可能性があります。例えば、内部データベースへのアクセス、クラウドサービスの認証情報の取得、あるいは他のサーバーへの攻撃の踏み台として利用される可能性があります。攻撃者は、AVideoの公開ホスト名と非標準ポートを組み合わせることで、この脆弱性を容易に悪用できます。この脆弱性は、類似のSSRF攻撃と同様に、機密情報の漏洩やシステムの乗っ取りにつながる可能性があります。

悪用の状況

CVE-2026-41060は、2026年4月21日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Organizations using AVideo in production environments, particularly those with sensitive data or internal services accessible via the web server, are at risk. Shared hosting environments where multiple users share the same AVideo instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability to access data belonging to other users.

検出手順翻訳中…

• php: Examine the objects/functions.php file for the isSSRFSafeURL() function and its shortcircuit logic. Look for modifications or unexpected behavior related to hostname comparisons.

// Example: Check for the vulnerable logic in isSSRFSafeURL()
if (strpos($_SERVER['HTTP_HOST'], $webSiteRootURL) !== false) {
  // Vulnerable shortcircuit
}

• generic web: Monitor access logs for requests to the AVideo server using non-standard ports (e.g., 8080, 8443) or unusual hostnames. • generic web: Check response headers for unexpected content or indicators of data exfiltration. • generic web: Use curl to test SSRF bypass by attempting to access internal resources using the site's hostname and a non-standard port.

curl -v --connect-timeout 5 http://your-avideo-site.com:8080/internal/resource

攻撃タイムライン

2026-04-21Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (10% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントavideo

ベンダーWWBN

影響範囲修正版

<= 29.0 – <= 29.029.0.1

29.0—

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-04-16
公開日2026-04-21
更新日2026-04-22
EPSS 更新日2026-04-29

緩和策と回避策

この脆弱性への最も効果的な対策は、AVideoをバージョン29.1以降にアップデートすることです。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を使用して、SSRF攻撃を検出し、ブロックすることを検討してください。また、webSiteRootURLの設定を厳密に制限し、許可されたホスト名のみを許可するように構成することも有効です。さらに、AVideoのアクセスログを監視し、異常なリクエストを検出するためのルールを実装することも推奨されます。

修正方法

SSRF脆弱性を軽減するために、AVideoをバージョン29.1以降にアップデートしてください。このアップデートは、`isSSRFSafeURL()`関数におけるSSRF保護をバイパスできる欠陥を修正します。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-41060 — SSRF in AVideoとは何ですか？

CVE-2026-41060は、AVideoのisSSRFSafeURL()関数に存在するSSRF脆弱性です。ホスト名チェックの不備により、任意のポートへのアクセスが可能となり、機密情報漏洩のリスクがあります。

CVE-2026-41060 in AVideoに影響を受けますか？