概要
WWBN AVideo の バージョン 26.0 より 前 に おいて、HLS(HTTP Live Streaming)配信 機能 の hls.php に パストラバーサル の 脆弱性(CWE-22: Path Traversal)が 存在 します。
攻撃者 は hls.php に 対して ディレクトリ トラバーサル 文字列 を 含む リクエスト を 送信 する こと で、本来 アクセス 権限 の ない 非公開 動画 コンテンツ を 閲覧 する こと が 可能 です。
動画 プラットフォーム に おける プライバシー 侵害 や 有料 コンテンツ の 不正 アクセス に つながる 恐れ が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 (High) |
| 攻撃元 | ネットワーク |
| 攻撃条件 | 低 |
| 認証 | 不要 |
| CWE | CWE-22 (パストラバーサル) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| AVideo | WWBN | 26.0 より前 |
修正バージョンと回避策
- 修正バージョン: AVideo 26.0 以降 へ の アップデート
- 暫定回避策:
hls.phpへ の 直接 アクセス を 制限 する。WAF で ディレクトリ トラバーサル パターン を ブロック する
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。