Провайдер в курсе всего. Девушка узнает последней
Image

Провайдер в курсе всего. Девушка узнает последней

Жми подписаться, ведь дальше градус будет только расти.

Заходи кто хочешь, бери что видишь. В коде популярного видеодвижка выявили критическую ошибку

leer en español

AVideo CVE-2026-29058 arkmarta DanielnetoDotCom ffmpeg стриминг
Заходи кто хочешь, бери что видишь. В коде популярного видеодвижка выявили критическую ошибку
AVideo CVE-2026-29058 arkmarta DanielnetoDotCom ffmpeg стриминг

Контроль переходит к посторонним моментально. Для взлома даже не нужны специальные навыки.

image

На платформе AVideo обнаружили критическую уязвимость, которая позволяет перехватывать видеотрансляции и захватывать сервер без авторизации и каких-либо действий со стороны пользователя. Проблема затрагивает медиасерверы и при успешной атаке открывает путь к удалённому выполнению команд, краже внутренних данных и серьёзным сбоям в работе сервисов.

AVideo — это open source-платформа для запуска собственных видеохостингов и стриминговых площадок. Её обычно используют владельцы независимых медиапроектов, образовательных платформ, корпоративных видеопорталов и локальных вещательных сайтов.

Уязвимость получила идентификатор CVE-2026-29058 и оценку по CVSS 9,8 балла из 10. О публикации сообщил DanielnetoDotCom, а авторство находки приписывают аналитику под ником «arkmarta». Ошибку отнесли к классу CWE-78, который связан с некорректной обработкой специальных символов при передаче команд операционной системе.

Причина проблемы кроется в работе компонентов objects/getImage.php и objects/security.php в AVideo 6.0. Платформа принимает значение параметра base64Url, декодирует его и затем подставляет прямо в команду ffmpeg в оболочке. Защита в таком сценарии фактически не срабатывает. Проверка через стандартный PHP-фильтр отсеивает только некорректные URL, но не блокирует вредоносные конструкции, способные изменить смысл команды.

Ситуацию усугубляет то, что AVideo использует shell_exec и nohup для запуска фоновых процессов. Такая схема позволяет злоумышленнику незаметно внедрить собственные команды и выполнить их на уровне системы. В результате сервер, который обрабатывает медиаконтент, может полностью перейти под чужой контроль.

Для устранения проблемы администраторам рекомендуют как можно быстрее перейти на AVideo 7.0 или более новую версию. В обновлении разработчики добавили жёсткую экранизацию аргументов команд, в том числе через escapeshellarg(), и отказались от небезопасной подстановки пользовательских данных в системные вызовы.

Если срочно обновить платформу не получается, специалисты советуют временно ограничить доступ к objects/getImage.php на уровне веб-сервера, разрешить подключения только с доверенных IP-адресов, включить строгую административную аутентификацию или полностью отключить уязвимый endpoint, если тот не нужен. Дополнительно риск можно снизить с помощью правил для WAF, которые отсекут подозрительный трафик ещё до попадания на сервер трансляций.