AVideo: Kritische Sicherheitslücken bedrohen Videoplattformen

Schwere Schwachstellen in der Open-Source-Streaming-Plattform AVideo erlauben Hackern die vollständige Übernahme von Servern. Sicherheitsforscher warnen vor einer gefährlichen Kombination aus einer Zero-Click-RCE-Lücke und einem schweren SSRF-Fehler im Encoder. Betreiber müssen sofort handeln.

Die Warnungen kamen am 4. März 2026 von mehreren Cybersicherheits-Plattformen. Sie beziehen sich auf eine Serie kritischer Schwachstellen in AVideo und seiner Encoder-Komponente. Das Problem: Die aktuelle Risikolage ist komplexer als zunächst angenommen. Es handelt sich nicht nur um einen isolierten Fehler, sondern um eine gefährliche Kombination aus einer Zero-Click-Remote-Code-Execution (RCE) im Kernsystem und einem schweren Server-Side-Request-Forgery (SSRF) in der Encoder-API.

Der aktuelle Fall zeigt, wie schnell Sicherheitslücken in Open-Source-Software die gesamte Unternehmens-IT gefährden können. Dieser Experten-Report enthüllt effektive Strategien, wie sich mittelständische Unternehmen ohne Budget-Explosion gegen Cyberkriminelle wappnen. Wie mittelständische Unternehmen sich gegen Cyberkriminelle wappnen

Sicherheitsbulletins, darunter eine prominente Warnung von CVEFeed, drängen Administratoren zu sofortigen Patches. Die aktuellen Warnungen folgen auf die Veröffentlichung mehrerer Common Vulnerabilities and Exposures (CVEs) durch die US-amerikanische National Vulnerability Database (NVD) Ende Februar 2026. Für Betreiber der Plattform entsteht eine komplexe Bedrohungslage, die Experten als hochgefährlich einstufen.

Die aktuelle Warnlage und ihre Hintergründe

Der erneute Fokus auf die Sicherheit von AVideo wurde durch eine veröffentlichung von CVEFeed am 4. März 2026 ausgelöst. Diese detaillierte die kritischen Lücken und betonte Risiken, die von Datenbank-Manipulation bis hin zur Remote-Code-Ausführung reichen. Dieser Alarm verstärkte frühere Offenlegungen der NVD, die bereits am 24. Februar 2026 Details zu zwei bedeutenden AVideo-Schwachstellen veröffentlicht hatte.

Sicherheitsforscher weisen darauf hin, dass der Open-Source-Charakter von AVideo bei gleichzeitig weit verbreiteter Nutzung durch Content-Creator und Unternehmen die Lücken besonders attraktiv für Angreifer macht. Die Architektur der Plattform umfasst eine dedizierte Encoder-Komponente zur Verarbeitung von Mediendateien, die bei unsicherer Konfiguration mehrere Angriffsvektoren bietet. Die Kombination aus neu veröffentlichten Encoder-Schwachstellen und bestehenden Zero-Click-Lücken erfordert eine umfassende Sicherheitsüberprüfung durch alle Instanz-Betreiber.

Kritischer SSRF-Fehler im AVideo-Encoder (CVE-2026-27732)

Im Zentrum der jüngsten Enthüllungen steht CVE-2026-27732, eine Server-Side-Request-Forgery-Schwachstelle in der AVideo-Encoder-Komponente. Vom NVD am 24. Februar 2026 veröffentlicht, existiert dieser Fehler im Encoder-API-Endpunkt der Plattform. Technische Analysen von SentinelOne und Miggo Security Ende Februar 2026 erklären, dass Versionen von AVideo vor 22.0 einen spezifischen Download-Parameter akzeptierten, ohne eine ordnungsgemäße Validierung oder einen Allow-Mechanismus zu implementieren.

Während technisches Patchen unerlässlich ist, bleibt die proaktive Stärkung der IT-Sicherheit die beste Verteidigung gegen kostspielige Angriffe. Dieser kostenlose Leitfaden zeigt Geschäftsführern, wie sie ihr Unternehmen mit einfachen Maßnahmen schützen, ohne teure neue Mitarbeiter einzustellen. IT-Sicherheit stärken ohne teure neue Mitarbeiter einzustellen

Diese Nachlässigkeit erlaubt es authentifizierten Nutzern, den Server zu zwingen, beliebige externe oder interne Webadressen abzurufen. Sicherheitsingenieure bei Miggo Security betonen, dass die Schwachstelle besonders in Cloud-Umgebungen gefährlich ist. Angreifer können den AVideo-Server als Proxy nutzen, um auf interne Netzwerkressourcen und Cloud-Metadatendienste zuzugreifen. Die Behebung dieses Fehlers, eingeführt in Version 22.0, beinhaltet eine zentralisierte Validierungsfunktion, die Anfragen an lokale, private und reservierte Netzwerkbereiche blockiert.

Die Zero-Click-RCE-Bedrohung (CVE-2025-34433)

Während der Encoder-SSRF eine Authentifizierung erfordert, kämpft die AVideo-Plattform auch mit CVE-2025-34433. Diese kritische Zero-Click-Schwachstelle ermöglicht unauthentifizierte Remote-Code-Ausführung. Ursprünglich vom NVD am 19. Dezember 2025 veröffentlicht, trägt dieser Fehler die maximale CVSS-Bewertung von 10.0.

Die Schwachstelle resultiert aus einer kryptografischen Schwäche bei der Generierung des Installations-Salzes der Plattform. Diese verlässt sich auf eine vorhersehbare PHP-Funktion zur Erzeugung eindeutiger Identifikatoren. Laut Schwachstellenberichten wird der Installationszeitstempel über einen öffentlichen Endpunkt preisgegeben, was Angreifern ermöglicht, die verbleibende Entropie durch Brute-Force zu ermitteln. Sobald das Salt wiederhergestellt ist, können Bedrohungsakteure eine schädliche Nutzlast verschlüsseln und an einen Benachrichtigungs-API-Endpunkt liefern. Da der Endpunkt die vom Angreifer kontrollierte Eingabe auswertet, führt dies zur Ausführung beliebigen Codes unter den Privilegien des Webserver-Benutzers – ohne jegliche Interaktion von Administratoren oder Nutzern.

Gespeicherte XSS-Lücke in Video-Kommentaren (CVE-2026-27568)

Die Sicherheitsherausforderungen der Plattform werden durch CVE-2026-27568 verstärkt, eine gespeicherte Cross-Site-Scripting-Schwachstelle (XSS), die am 24. Februar 2026 neben dem Encoder-Fehler veröffentlicht wurde. SentinelOne-Forscher erläuterten in einem Bericht vom 27. Februar 2026, dass die Schwachstelle die Kommentarverarbeitungsfunktionalität in AVideo-Versionen vor 21.0 betrifft.

Die Plattform nutzt eine spezifische Markdown-Parsing-Bibliothek zur Darstellung von Text in Videokommentaren, aktivierte aber den Safe-Mode der Bibliothek nicht. Folglich werden Markdown-Links nicht ausreichend bereinigt, was Angreifern erlaubt, bösartigen JavaScript-Code über spezifische script-basierte URI-Schemata einzuschleusen. Klickt ein Administrator oder ein anderer Nutzer auf den kompromittierten Link, wird die Nutzlast in dessen Browser ausgeführt. Sicherheitsanalysten warnen, dass dies zu schwerwiegenden Konsequenzen hinterlassen kann: Sitzungsübernahme, Datenexfiltration und potenzielle Rechteausweitung bis hin zur vollständigen Übernahme administrativer Konten.

Handlungsempfehlungen für Betreiber

Das Zusammentreffen dieser Schwachstellen unterstreicht die erheblichen Herausforderungen bei der Absicherung komplexer, quelloffener Medienplattformen. Cybersicherheitsexperten betonen, dass die Präsenz sowohl authentifizierter Encoder-Fehler als auch unauthentifizierter Zero-Click-RCE-Lücken eine hoch volatile Umgebung für Organisationen schafft, die ihre eigene Videoinfrastruktur hosten.

Um die Risiken zu mindern, drängen Sicherheitsempfehlungen Administratoren zu sofortigen Updates ihrer AVideo-Installationen. Die SSRF-Schwachstelle in der Encoder-API ist in AVideo Version 22.0 behoben, während der gespeicherte XSS-Fehler in Version 21.0 adressiert wurde. Die Abschwächung der kritischen CVSS-10.0-RCE-Lücke erfordert zudem ein Update der Kernplattform auf eine Version nach 20.1.

Über das Patchen hinaus empfehlen Sicherheitsprofis die Implementierung von Netzwerksegmentierung, die Einschränkung des Zugriffs auf Encoder-API-Endpunkte und den Einsatz von Web Application Firewalls, um verdächtige Nutzlasten und unbefugte interne Netzwerkanfragen zu überwachen. Administratoren sollten zudem ihre Server-Logs auf Anzeichen einer Ausnutzung überprüfen, mit besonderem Fokus auf unerwartete ausgehende Anfragen, die von der Encoder-Komponente stammen.