CVE-2026-43882 in AVideo
要約
〜によって VulDB • 2026年05月12日
WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン29.0以前において、認証不要のplugin/Scheduler/downloadICS.phpエンドポイントは、攻撃者が制御するtitle、description、joinURLパラメータをScheduler::downloadICS()に渡します。この関数はICSヘルパークラスを介してICSカレンダーファイルを生成します。ICS::escape_string()(objects/ICS.php:167-169)はカンマ(,)とセミコロン(;)のみをエスケープし、CR/LFを中和しません。そのため、プロパティ値内の攻撃者が注入したCRLFバイトが抜け出し、任意のICS行をインジェクトします。これには、攻撃者が完全に制御するカレンダーイベントを追加するEND:VEVENT / BEGIN:VEVENTペアも含まれます。悪意のある.icsファイルが被害者の信頼できるAVideoオリジンから提供されるため、これにより高信頼性のカレンダーフィッシングが可能になります。これは、攻撃者が選択したSUMMARY、URL、LOCATION、DESCRIPTIONを持つ偽の会議が、インポート後に被害者のカレンダーに記録されることを意味します。コミット764db592f99e545aa86bb9a4ad664ffd14c38ba5には更新された修正が含まれています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.