CVE-2018-25310VideoFlow Digital Video Protection DVP 2.10版本存在经过身份验证的远程代码执行漏洞。该漏洞源于Web管理界面缺乏有效的CSRF防护机制,攻击者可诱导已登录的管理员访问恶意页面,利用CSRF缺陷通过“Tools > System > Shell”接口注入并执行任意系统命令,从而获取设备的Root级控制权限。
该漏洞的核心原因在于VideoFlow DVP Web管理界面的“系统Shell”功能未对跨站请求伪造进行有效防御。虽然利用该漏洞需要目标用户已通过身份验证(符合CVSS PR:L要求),但攻击者可以利用社会工程学手段诱导管理员点击恶意链接。当管理员访问攻击者构造的恶意HTML页面时,浏览器会自动携带管理员的Session Cookie向目标设备的Shell接口发送特制的HTTP POST请求。由于服务器端未验证请求的来源Token,攻击者即可在请求参数中注入任意操作系统命令。设备后端接收请求后,直接将参数传递给底层系统Shell执行,导致攻击者能够以Root权限远程控制设备。