AVideo プラットフォームの脆弱性がストリームハイジャックを可能に
セキュリティ研究者により、AVideo プラットフォームに深刻な脆弱性が見つかりました。この脆弱性は、ハッカーがストリームをハイジャックし、悪意のあるシェル コマンドを実行する可能性を秘めています。この脆弱性は CVE-2026-29058 としてトラッキングされており、ゼロクリック、未認証のオペレーティング システム コマンドインジェクションの脆弱性です。
この脆弱性は最大の深刻度スコア 9.8(10 点満点中)を記録しており、ユーザーの操作や特別な権限なしで悪用可能であることが判明しています。この脆弱性が悪用された場合、攻撃者はサーバー全体を乗っ取り、機密情報の窃取やビデオ ストリーミング環境でのサービス障害を引き起こす可能性があります。
脆弱性の詳細と原因
この脆弱性は、AVideo プラットフォームの特定のアプリケーション ファイル、特に objects/getImage.php と objects/security.php に起因しています。現在、バージョン 6.0 がこの脆弱性に影響を受けていることが確認されています。
この脆弱性の核心は、base64Url ウェブ パラメータの危険な取り扱いにあります。この特定のパラメータに入力が提供されると、システムはデータをデコードし、ダブルクォートで囲まれた ffmpeg シェル コマンドに直接挿入します。重要なことに、この実行は適切なセキュリティチェックやシェル エスケープ メカニズムが全くない状態で行われます。
アプリケーションは、標準の URL フィルターを使用して入力を検証しようとしますが、このビルトインの PHP 関数は基本的なウェブ アドレスのフォーマットのみをチェックします。これは、意図したオペレーティング システムのアクションを変更する悪意のあるコマンド シーケンスをブロックするのに全く役立ちません。
プラットフォームがバックグラウンド コマンド実行のヘルパー(shell_exec と nohup)を使用しているため、攻撃者は静かに破壊的なコマンドを注入し、実行することができます。これにより、リモートのハッカーは通常のセキュリティ制御をバイパスし、メディア ファイルを処理するサーバーを制御することができます。
緩和策と修正手順
CVE-2026-29058 の完全な修正には、システム管理者が AVideo インストールを完全にパッチを当てたバージョン 7.0 またはそれ以降にアップグレードする必要があります。この更新版は、すべてのユーザー供給値に対して escapeshellarg() 関数などの厳格なシェル引数エスケープを実装することで、基本的な脆弱性を解決します。
さらに、ソフトウェア更新は、コマンドに直接不信任な入力を挿入する危険な慣行を削除し、メディア処理タスクのための安全なプロセス実行方法を選択します。
ソフトウェア更新をすぐに適用できない組織に対しては、一時的なセキュリティワークアラウンドを展開することを強く推奨します。セキュリティ チームは、脆弱な objects/getImage.php ファイルへのアクセスを Web サーバー層で制限する必要があります。これは、信頼できる IP アドレスのみを許可する、厳格な管理者ログインを要求する、または必要でない限りエンドポイントを完全に無効にするといった方法で達成できます。
最後に、管理者は強力な Web アプリケーション ファイアウォール規則を適用し、怪しいネットワークパターンをブロックし、悪意のあるトラフィックが脆弱なストリーミング サーバーに到達する前に停止するようにします。