AVideo Platform Vulnerability Allows Hackers to Hijack Streams via Zero-Click Command Injection
2026/03/06 gbhackers — AVideo プラットフォームが公開したのは、OS コマンド・インジェクションの脆弱性 CVE-2026-29058 (CVSS:9.8) である。この脆弱性 (CWE-78:特殊要素の不適切な無害化) を悪用する未認証のリモート攻撃者は、ユーザー操作や特権を必要とすることなく、ゼロクリックで悪意のシェルコマンドを実行し、メディア・サーバの完全な乗っ取りを可能にする。
この脆弱性の悪用に成功した攻撃者は、内部機密データの窃取などの、動画配信環境における深刻なサービス障害を引き起こす。
この脆弱性は、セキュリティ分析者 arkmarta により発見され、DanielnetoDotCom により公開されたものであり、現時点で version 6.0 が影響を受けることが確認されている。
技術的な詳細と根本原因
この脆弱性は、AVideo の “objects/getImage.php” および “objects/security.php” コンポーネントに存在するものであり、base64Url Web パラメータの危険な処理に原因がある。
このパラメータに入力された値はデコードされ、二重引用符付き “ffmpeg” シェルコマンドへ直接挿入される。重要なことは、適切なセキュリティ検証やシェル・エスケープなしに、このプロセスが実行される点にある。
このアプリケーションは、標準 URL フィルタで入力検証を試みるが、この PHP 関数は基本的な Web アドレス形式のみを確認する。したがって、悪意のコマンド列の阻止が不可能となり、それらが、OS コマンド実行へと変更される。
さらに、shell_exec や nohup などのバックグラウンド実行ヘルパーを使用しているため、攻撃者はシステムの最深部において、破壊的なコマンドを静かに注入/実行できる。
これにより、通常のセキュリティ制御は回避され、メディア処理サーバの完全に制御奪取が可能になってしまう。
緩和と修復のための措置
脆弱性 CVE-2026-29058 を恒久的かつ速やかに修正するには、AVideo の version 7.0 以降へアップグレードが不可欠である。
この修正版では、すべてのユーザー入力値に対して、escapeshellarg() を用いる厳格なシェル引数エスケープが実装されている。また、信頼できない入力をコマンドへ直接挿入するという危険な実装が廃止され、より安全なプロセスの実行方式へと変更されている。
- 迅速なアップデートが困難な場合には、暫定的な防御策を講じる必要がある。
- Web サーバ層で “objects/getImage.php” へのアクセスを制限する。
- 信頼済み IP のみの許可/厳格な管理者ログイン要求/未使用エンドポイント無効化を実施する。
- 強力な WAF ルールを適用し、不審な通信パターンを遮断する。
ただし、これらは暫定的な緩和策である。最新アップデートの適用が、最も確実な防御策となる。
動画配信プラットフォーム AVideo で発見された、深刻な脆弱性 CVE-2026-29058 (CVSS 9.8) は、サーバの完全な乗っ取りを許す可能性のある、きわめて危険なものです。この問題の原因は、画像処理コンポーネントにおいて、ユーザーが入力したパラメータが無害化されずに、OS の実行コマンドへ直接組み込まれたことにあります。したがって、攻撃者は細工したリクエストを送るだけで、ログイン不要かつユーザーの操作なしに、サーバ上で任意のプログラムをゼロクリック実行できる状況にあります。それにより、機密データの窃取やシステムの破壊が可能となります。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.