Μια κρίσιμη ευπάθεια στο AVideo, μια ευρέως χρησιμοποιούμενη πλατφόρμα φιλοξενίας και ροής βίντεο ανοιχτού κώδικα. Παρακολούθηση ως CVE-2026-29058, αυτό το ελάττωμα μηδενικού κλικ φέρει μια μέγιστη βαθμολογία σοβαρότητας, επιτρέποντας στους εισβολείς να εκτελούν αυθαίρετες εντολές λειτουργικού συστήματος στον στοχευμένο διακομιστή.
Ανακαλύφθηκε από τον ερευνητή ασφαλείας Arkmarta, η ευπάθεια επηρεάζει συγκεκριμένα την έκδοση 6.0 του AVideo. Έχει διορθωθεί επίσημα στην έκδοση 7.0 και μεταγενέστερες εκδόσεις.
Κατατάσσεται στο CWE-78 για την ακατάλληλη εξουδετέρωση ειδικών στοιχείων σε μια εντολή λειτουργικού συστήματος, αυτή η επίθεση που βασίζεται σε δίκτυο δεν απαιτεί δικαιώματα συστήματος ή αλληλεπίδραση με τον χρήστη.
Εάν γίνει επιτυχής εκμετάλλευση, οι εισβολείς θα μπορούσαν να επιτύχουν πλήρη παραβίαση διακομιστή, να κλέψουν ευαίσθητα μυστικά διαμόρφωσης και να παραβιάσουν πλήρως τις ζωντανές ροές βίντεο.
Ευπάθεια πλατφόρμας AVideo
Η βασική αιτία αυτής της σοβαρής ευπάθειας βρίσκεται στο στοιχείο objects/getImage.php της πλατφόρμας AVideo.
Το ζήτημα παρουσιάζεται όταν η εφαρμογή επεξεργάζεται αιτήματα δικτύου που περιέχουν μια παράμετρο base64Url.
Η πλατφόρμα Base64-αποκωδικοποιεί αυτήν την είσοδο που παρέχεται από το χρήστη και την παρεμβάλλει απευθείας σε μια εντολή κελύφους ffmpeg με διπλά εισαγωγικά.
Ενώ το λογισμικό επιχειρεί να επικυρώσει την είσοδο χρησιμοποιώντας τυπικά φίλτρα URL, αυτή η λειτουργία ελέγχει μόνο για βασική σύνταξη URL.
Αποτυγχάνει εντελώς να εξουδετερώσει επικίνδυνους μεταχαρακτήρες κελύφους ή ακολουθίες αντικατάστασης εντολών.
Επειδή η εφαρμογή δεν διαφεύγει σωστά από αυτά τα μη αξιόπιστα δεδομένα πριν από την εκτέλεση της εντολής, οι απομακρυσμένοι εισβολείς μπορούν εύκολα να προσαρτήσουν κακόβουλες οδηγίες.
Αυτό επιτρέπει σε μη εξουσιοδοτημένους χρήστες να εκτελούν αυθαίρετο κώδικα, να εκμεταλλεύονται εσωτερικά διαπιστευτήρια ή να διακόπτουν σκόπιμα τις δυνατότητες ροής του διακομιστή.
Σύμφωνα με τη συμβουλευτική στο GitHubοι διαχειριστές που εκτελούν το AVideo-Encoder έκδοση 6.0 θα πρέπει να κάνουν αναβάθμιση σε έκδοση 7.0 ή νεότερη για να ασφαλίσουν το περιβάλλον τους.
Η επίσημη ενημερωμένη έκδοση επιλύει το πρόβλημα εφαρμόζοντας αυστηρό όρισμα φλοιού διαφυγής, χρησιμοποιώντας συναρτήσεις όπως το escapeshellarg().
Αυτή η κρίσιμη επιδιόρθωση διασφαλίζει ότι όλα τα στοιχεία εισόδου που παρέχονται από τον χρήστη απολυμαίνονται σωστά πριν αλληλεπιδράσουν με την υποκείμενη γραμμή εντολών, αποτρέποντας αποτελεσματικά τους εισβολείς από το να ξεφύγουν από την προβλεπόμενη δομή εντολών.
Εάν δεν είναι εφικτή μια άμεση αναβάθμιση λογισμικού, οι ομάδες ασφαλείας πρέπει να αναπτύξουν προσωρινές λύσεις για την προστασία της υποδομής ροής τους.
Οι διαχειριστές θα πρέπει να περιορίσουν αυστηρά την πρόσβαση στα ευάλωτα αντικείμενα/getImage.php τελικό σημείο στον διακομιστή ιστού ή στο επίπεδο αντιστροφής του διακομιστή μεσολάβησης χρησιμοποιώντας αυστηρή λίστα επιτρεπόμενων IP.
Επιπλέον, οι οργανισμοί θα πρέπει να εφαρμόζουν κανόνες του Τείχους προστασίας εφαρμογών Ιστού (WAF) που έχουν σχεδιαστεί για να επιθεωρούν και να αποκλείουν ενεργά ύποπτα μοτίβα εντολών κελύφους με κωδικοποίηση Base64.
Ως τελευταίο προστατευτικό μέτρο, οι διαχειριστές μπορούν να απενεργοποιήσουν πλήρως το στοιχείο ανάκτησης εικόνας, εάν δεν απαιτείται για τις καθημερινές λειτουργίες της πλατφόρμας.
