AVideoプラットフォーム内で重大な脆弱性が発見されました。これは攻撃者がビデオブロードキャストを乗っ取り、認証やユーザー操作なしにサーバー全体を制御できるようにしています。この問題はメディアサーバーを危険にさらし、攻撃が成功すると、リモートコード実行、内部テレメトリーの盗難、およびサービス運用の壊滅的な混乱につながります。
AVideoは独自のビデオホスティングサイトとストリーミングドメイン立ち上げのために設計されたオープンソースアーキテクチャです。独立したメディア事業者、教育プラットフォーム、企業ビデオポータル、および地域的放送拠点の所有者によって一般的に活用されています。
この脆弱性は正式にCVE-2026-29058として記録されており、10段階中9.8という深刻なCVSSスコアを獲得しています。開示はDanielnetoDotComによって発表され、発見の起源は「arkmarta」というモニカーで活動するアナリストに帰属しています。この欠陥はCWE-78分類の下に分類されており、これはオペレーティングシステムコマンドで使用される特殊要素の不適切な無効化と密接に関連しています。
この問題の根本はAVideoバージョン6.0に固有のobjects/getImage.phpおよびobjects/security.phpコンポーネントの運用ロジック内にあります。プラットフォームはbase64Urlパラメータの値を取得し、それをデコードしてから、基盤のシェル内のffmpegコマンドに直接注入します。このようなシナリオでは防御マトリックスは根本的に無力です。標準的なPHPフィルタを使用した検証プロセスは、不正なURLを削除するだけで、コマンドの本質的な意図を変更できる悪意のある構造を完全に排除できていません。
この危険な状況をさらに悪化させるのは、AVideoがバックグラウンドプロセス呼び出しのためにshell_execおよびnohupに依存していることです。このようなアーキテクチャは、攻撃者が自分たちの専有コマンドを密かに埋め込み、システム権限で実行する能力を与えます。その結果、メディアコンテンツを処理するために必須のサーバー全体が敵対者の支配下に陥る可能性があります。
この危険を排除するために、管理者は最大の急速さでAVideo 7.0またはそれ以降のバージョンに移行することが強く勧告されています。この改善の中で、設計者は厳密なシェル引数エスケープを統合しており、特にescapeshellarg()を活用し、ユーザー供給データのシステム呼び出しへの危険な注入を明確に放棄しています。
即座のアップグレードが不可能な場合、サイバーセキュリティの専門家は、Webサーバー層でobjects/getImage.phpへのアクセスを一時的に制限し、信頼できるIPアドレスからのみアクセスを許可し、厳密な管理者認証を強制するか、不要と判断された場合は脆弱なエンドポイントを完全に遮断することを助言しています。さらに、この実存的リスクは、ブロードキャストサーバーの境界を侵害する前に疑わしいトラフィックを遮断するように細心に設計された堅牢なWebアプリケーションファイアウォール(WAF)プロトコルの展開を通じて軽減することができます。
