CVE-2026-40909 in AVideo
要約
〜によって VulDB • 2026年05月21日
WWBN AVideo はオープンソースのビデオプラットフォームです。バージョン 29.0 およびそれ以前のバージョンでは、ロケール保存エンドポイント (`locale/save.php`) が、30 行目で `$_POST['flag']` をパスに直接連結してファイルパスを構築しており、サニタイズ処理が施されていません。その後、40 行目で `fwrite()` を使用して `$_POST['code']` パラメータがそのパスにそのまま書き込まれます。管理者攻撃者(または CSRF トークンのチェックが行われておらず、クッキーが `SameSite=None` を使用しているため、管理者を CSRF できる任意のユーザー)は、`locale/` ディレクトリ外へのディレクトリトラバーサルを行い、ファイルシステムの任意の書き込み可能な場所に任意の `.php` ファイルを書き込むことで、リモートコード実行 (RCE) を達成できます。コミット 57f89ffbc27d37c9d9dd727212334846e78ac21a によりこの問題は修正されました。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.