概要
WWBN AVideo の バージョン 26.0 より 前 に おいて、deleteDump 機能 に パストラバーサル の 脆弱性(CWE-22: Path Traversal)が 存在 します。
攻撃者 は deleteDump エンドポイント に 対して ディレクトリ トラバーサル 文字列 を 含む リクエスト を 送信 する こと で、PHP の unlink() 関数 を 通じて サーバー 上 の 任意 の ファイル を 削除 する こと が 可能 です。
設定ファイル や データベース ファイル の 削除 に よる サービス 停止、および セキュリティ 設定 の 無効化 に つながる 恐れ が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.1 (High) |
| 攻撃元 | ネットワーク |
| 攻撃条件 | 低 |
| 認証 | 不要 |
| CWE | CWE-22 (パストラバーサル) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| AVideo | WWBN | 26.0 より前 |
修正バージョンと回避策
- 修正バージョン: AVideo 26.0 以降 へ の アップデート
- 暫定回避策:
deleteDumpエンドポイント へ の アクセス を 制限 する。WAF で ディレクトリ トラバーサル パターン を ブロック する
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。