AVideo - CVE-2026-29058
Date de publication :
Il s'agit d'une vulnérabilité dans AVideo affectant le traitement du paramètre GET base64Url dans le composant objects/getImage.php.
AVideo est une plateforme web open source permettant l’hébergement, la gestion et la diffusion de vidéos en ligne via une interface d’administration et plusieurs composants serveur, notamment pour le traitement et l’encodage des médias.
La valeur fournie par l’utilisateur est décodée puis intégrée directement dans une commande ffmpeg exécutée par le shell, sans échappement sécurisé des arguments, et la validation via FILTER_VALIDATE_URL ne bloque pas les métacaractères du shell.
Elle permet l’exécution de commandes système arbitraires sur le serveur.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Exécution de code arbitraire (à distance)
Exploitation
CWE-78 : Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
AVideo versions antérieures à 7.0.0
Contournement provisoire
• Appliquer temporairement des règles WAF pour bloquer les motifs suspects jusqu’au déploiement du correctif.