由安全研究人员发现,AVideo 这一主流开源视频点播与直播平台中存在一处高危漏洞。该漏洞编号为 CVE-2026-29058,属于零点击类型,风险等级为最高严重级别,攻击者无需身份验证即可在目标服务器上执行任意操作系统命令。
该漏洞由安全研究员 Arkmarta 发现,仅影响 AVideo 6.0 版本,目前已在 7.0 及更高版本中完成官方修复。
此漏洞归类于 CWE-78(操作系统命令中特殊元素处理不当),属于无需权限、无需用户交互的远程网络攻击。
一旦被成功利用,攻击者可完全控制服务器、窃取敏感配置密钥,并彻底劫持直播视频流。
AVideo 平台漏洞详情
这一高危漏洞的根源位于 AVideo 平台的 objects/getImage.php 组件。
当应用处理包含 base64Url 参数的网络请求时,平台会对用户输入进行 Base64 解码,并直接拼接到双引号包裹的 ffmpeg 系统命令中。
尽管程序尝试通过标准 URL 过滤器对输入进行校验,但该函数仅检查基础 URL 语法格式。
它完全没有对危险的 Shell 元字符或命令替换序列进行过滤。
由于应用在执行命令前未对不可信数据进行正确转义,远程攻击者可轻松追加恶意指令。
这一缺陷使得未授权用户能够执行任意代码、窃取内部凭证,或故意破坏服务器的流媒体服务。
修复与防护建议
根据 GitHub 发布的安全公告,运行 AVideo-Encoder 6.0 的管理员应立即升级到 7.0 或更高版本以保障环境安全。
官方修复版本通过使用 escapeshellarg() 等函数对 Shell 参数执行严格转义,从根源上解决了该漏洞。
这一关键修复确保所有用户输入在传入命令行前都会被彻底净化,有效阻止攻击者突破预设的命令结构。
若无法立即完成软件升级,安全团队必须部署临时缓解措施保护流媒体基础设施:
- 管理员应在 Web 服务器或反向代理层,通过严格的 IP 白名单限制对脆弱端点 objects/getImage.php 的访问。
- 机构可配置Web 应用防火墙(WAF) 规则,检测并主动拦截可疑的 Base64 编码 Shell 命令特征。
- 若平台日常运行无需依赖图片获取功能,管理员可直接关闭该组件作为最终防护手段。
发表评论
您还未登录,请先登录。
登录