文章总结： AVideo平台存在严重零点击命令注入漏洞CVE-2026-29058，影响6.0版本。漏洞源于objects/getImage.php组件对base64Url参数处理不当，未过滤Shell元字符即插入ffmpeg命令，导致未经认证的RCE。攻击者可控制服务器或劫持流媒体。建议升级至7.0版本修复。 综合评分： 80 文章分类： 漏洞分析,漏洞预警,WEB安全

AVideo平台中的关键零点击命令注入漏洞允许流媒体劫持

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月8日 14:13 北京

AVideo（一个广泛使用的开源视频托管和流媒体平台）存在一个严重漏洞。该漏洞编号为 CVE-2026-29058，属于零点击漏洞，严重级别为最高，允许未经身份验证的攻击者在目标服务器上执行任意操作系统命令。

该漏洞由安全研究员 Arkmarta 发现，专门影响 AVideo 6.0 版本。该漏洞已在 7.0 版本及更高版本中正式修复。

该网络攻击被归类为CWE-78，原因是操作系统命令中的特殊元素处理不当，它不需要系统权限或用户交互。

如果利用成功，攻击者可以完全控制服务器，窃取敏感配置信息，并完全劫持实时视频流。

AVideo平台漏洞

该严重漏洞的根本原因在于 AVideo 平台的 objects/getImage.php 组件。

当应用程序处理包含 base64Url 参数的网络请求时，就会出现此问题。

该平台对用户提供的输入进行 Base64 解码，并将其直接插入到双引号括起来的 ffmpeg shell 命令中。

虽然该软件会尝试使用标准 URL 过滤器来验证输入，但此功能仅检查基本的 URL 语法。

它完全无法消除危险的 shell 元字符或命令替换序列。

由于该应用程序在执行命令之前没有正确转义这些不受信任的数据，远程攻击者可以很容易地附加恶意指令。

这使得未经授权的用户能够运行任意代码、窃取内部凭证或故意破坏服务器的流媒体功能。

根据 GitHub 上的公告，运行 AVideo-Encoder 6.0 版本的管理员应升级到 7.0 或更高版本，以确保其环境的安全。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《AVideo平台中的关键零点击命令注入漏洞允许流媒体劫持》