anonhaven

CVE-2026-29058

CRITICAL CVSS 3.1: 9,8 EPSS 0.10%
Обновлено 6 марта 2026
Avideo
Параметр Значение
CVSS 9,8 (CRITICAL)
Устранено в версии 7.0
Тип уязвимости CWE-78 (OS Command Injection (Внедрение команд ОС))
Поставщик Avideo
Публичный эксплойт Нет

AVideo — это платформа для обмена видео. До версии 7.0 злоумышленник, не прошедший проверку подлинности, мог выполнять произвольные команды ОС на сервере, вводя подстановку команд оболочки в параметр GET base64Url. Это может привести к полной компрометации сервера, утечке данных (например, секретов конфигурации, внутренних ключей, учетных данных) и сбою в работе служб.

Эта проблема исправлена ​​в версии 7.0.

Показать оригинальное описание (EN)

AVideo is a video-sharing Platform software. Prior to version 7.0, an unauthenticated attacker can execute arbitrary OS commands on the server by injecting shell command substitution into the base64Url GET parameter. This can lead to full server compromise, data exfiltration (e.g., configuration secrets, internal keys, credentials), and service disruption. This issue has been patched in version 7.0.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-78 OS Command Injection (Внедрение команд ОС)

Ссылки 1

https://github.com/WWBN/AVideo-Encoder/security/advisories/GHSA-9j26-99jh-v26q
security-advisories@github.com
Share Post Share Share Share