AVideo平台零点击命令注入可致流被劫持

广泛使用的开源视频托管与流媒体平台AVideo近日披露了一个高危漏洞。该漏洞被追踪为CVE-2026-29058，是一个零点击触发的高危缺陷，允许未经身份验证的攻击者在目标服务器上执行任意操作系统命令。

该漏洞由安全研究员Arkmarta发现，主要影响AVideo 6.0版本，官方已在7.0及后续版本中发布补丁修复。

此漏洞属于CWE-78类别（OS命令中特殊元素未正确中和），是一种基于网络的攻击方式，无需系统权限或用户交互即可实施。

攻击者一旦成功利用该漏洞，即可完全控制服务器，窃取敏感配置信息，并彻底劫持正在进行的直播视频流。

AVideo平台漏洞根源
这一严重漏洞的根源在于AVideo平台的objects/getImage.php组件。

问题出现在应用程序处理包含base64Url参数的网络请求时。

平台会对用户提供的输入进行Base64解码，并将其直接插入到双引号包裹的ffmpeg Shell命令中。

尽管软件试图通过标准的URL过滤器验证输入，但该函数仅检查基本的URL语法。

它完全未能过滤危险的Shell元字符或命令替换序列。

由于应用程序在执行命令前未能正确转义这些不可信数据，远程攻击者可以轻易附加恶意指令。

这使得未经授权的用户能够运行任意代码、窃取内部凭证或蓄意破坏服务器的流媒体功能。

根据GitHub上的安全公告，运行AVideo-Encoder 6.0版本的管理员应升级到7.0或更高版本，以确保环境安全。

官方补丁版本通过采用严格的Shell参数转义（如使用escapeshellarg()函数）来修复该问题。

这一关键修复措施确保所有用户提供的输入在与底层命令行交互前得到恰当净化，从而有效防止攻击者突破预期的命令结构。

如果无法立即升级软件，安全团队必须部署临时缓解方案来保护其流媒体基础设施。

管理员应通过严格的IP白名单，在网络服务器或反向代理层严格限制对存在漏洞的objects/getImage.php接口的访问。

此外，各组织应应用Web应用防火墙（WAF）规则，以检测并主动拦截可疑的Base64编码Shell命令模式。

作为最后的保护措施，如果平台日常运营中不需要图像检索组件，管理员可以完全将其关闭。