Заходи кто хочешь, бери что видишь. В коде популярного видеодвижка выявили критическую ошибку
NewsMakerКонтроль переходит к посторонним моментально. Для взлома даже не нужны специальные навыки.
На платформе AVideo обнаружили критическую уязвимость , которая позволяет перехватывать видеотрансляции и захватывать сервер без авторизации и каких-либо действий со стороны пользователя. Проблема затрагивает медиасерверы и при успешной атаке открывает путь к удалённому выполнению команд, краже внутренних данных и серьёзным сбоям в работе сервисов.
AVideo — это open source-платформа для запуска собственных видеохостингов и стриминговых площадок. Её обычно используют владельцы независимых медиапроектов, образовательных платформ, корпоративных видеопорталов и локальных вещательных сайтов.
Уязвимость получила идентификатор CVE-2026-29058 и оценку по CVSS 9,8 балла из 10. О публикации сообщил DanielnetoDotCom, а авторство находки приписывают аналитику под ником «arkmarta». Ошибку отнесли к классу CWE-78 , который связан с некорректной обработкой специальных символов при передаче команд операционной системе.
Причина проблемы кроется в работе компонентов objects/getImage.php и objects/security.php в AVideo 6.0. Платформа принимает значение параметра base64Url, декодирует его и затем подставляет прямо в команду ffmpeg в оболочке. Защита в таком сценарии фактически не срабатывает. Проверка через стандартный PHP-фильтр отсеивает только некорректные URL, но не блокирует вредоносные конструкции, способные изменить смысл команды.
На платформе AVideo обнаружили критическую уязвимость , которая позволяет перехватывать видеотрансляции и захватывать сервер без авторизации и каких-либо действий со стороны пользователя. Проблема затрагивает медиасерверы и при успешной атаке открывает путь к удалённому выполнению команд, краже внутренних данных и серьёзным сбоям в работе сервисов.
AVideo — это open source-платформа для запуска собственных видеохостингов и стриминговых площадок. Её обычно используют владельцы независимых медиапроектов, образовательных платформ, корпоративных видеопорталов и локальных вещательных сайтов.
Уязвимость получила идентификатор CVE-2026-29058 и оценку по CVSS 9,8 балла из 10. О публикации сообщил DanielnetoDotCom, а авторство находки приписывают аналитику под ником «arkmarta». Ошибку отнесли к классу CWE-78 , который связан с некорректной обработкой специальных символов при передаче команд операционной системе.
Причина проблемы кроется в работе компонентов objects/getImage.php и objects/security.php в AVideo 6.0. Платформа принимает значение параметра base64Url, декодирует его и затем подставляет прямо в команду ffmpeg в оболочке. Защита в таком сценарии фактически не срабатывает. Проверка через стандартный PHP-фильтр отсеивает только некорректные URL, но не блокирует вредоносные конструкции, способные изменить смысл команды.