«Entra quien quiera, toma lo que vea»: detectan una falla crítica en el código de un popular motor de vídeo
El control pasa al instante a personas no autorizadas: para hackear no se requieren habilidades especiales
En la plataforma AVideo se detectó una vulnerabilidad crítica, que permite interceptar transmisiones de vídeo y tomar control del servidor sin autenticación ni ninguna acción por parte del usuario. El problema afecta a servidores de medios y, si el ataque tiene éxito, abre la puerta a la ejecución remota de comandos, al robo de datos internos y a fallos graves en el funcionamiento de los servicios.
AVideo no es un servicio de consumo masivo, sino una plataforma de código abierto para desplegar alojamientos de vídeo y espacios de streaming propios. Normalmente la instalan propietarios de proyectos mediáticos independientes, plataformas educativas, portales de vídeo corporativos y sitios de emisión locales.
La vulnerabilidad fue registrada como CVE-2026-29058 y recibió una puntuación CVSS de 9,8 sobre 10. La publicación fue comunicada por DanielnetoDotCom, y la autoría del hallazgo se atribuye a un analista con el seudónimo «arkmarta». El fallo se clasificó como CWE-78, relacionado con el manejo incorrecto de caracteres especiales al pasar comandos al sistema operativo.
La causa radica en el funcionamiento de los componentes objects/getImage.php y objects/security.php en AVideo 6.0. La plataforma acepta el valor del parámetro base64Url, lo decodifica y luego lo inserta directamente en el comando ffmpeg en la shell. La protección en este escenario, en la práctica, no funciona. La comprobación mediante el filtro estándar de PHP solo descarta URLs inválidas, pero no bloquea construcciones maliciosas capaces de alterar el sentido del comando.
La situación empeora porque AVideo utiliza shell_exec y nohup para iniciar procesos en segundo plano. Ese esquema permite a un atacante inyectar sus propios comandos de forma indetectada y ejecutarlos a nivel del sistema. Como resultado, el servidor que procesa el contenido multimedia puede quedar completamente bajo control ajeno.
Para corregir el problema se recomienda a los administradores actualizar lo antes posible a AVideo 7.0 o a una versión posterior. En la actualización los desarrolladores añadieron un escapado estricto de los argumentos de los comandos, incluido escapeshellarg(), y eliminaron la sustitución insegura de datos de usuario en llamadas al sistema.
Si no es posible actualizar la plataforma de inmediato, los especialistas aconsejan limitar temporalmente el acceso a objects/getImage.php a nivel del servidor web, permitir conexiones solo desde direcciones IP de confianza, activar una autenticación administrativa estricta o deshabilitar por completo el endpoint vulnerable si no se necesita. Adicionalmente, se puede reducir el riesgo mediante reglas para el WAF que filtren el tráfico sospechoso antes de que llegue al servidor de transmisiones.