CVE-2023-53774CVE-2023-53774是MiniDVBLinux 5.4版本中的一个严重安全漏洞,位于SVDRP(Simple Video Disk Recorder Protocol,简单视频磁盘录制器协议)中。该协议允许远程用户通过TCP端口6419连接到VDR(Video Disk Recorder)系统并发送命令。攻击者无需任何认证即可利用此漏洞,通过发送精心构造的SVDRP命令来操纵电视系统,实现远程代码执行。由于CVSS评分高达9.8,属于严重级别,且可通过网络无需认证即可利用,对使用MiniDVBLinux的用户构成重大安全威胁。攻击者可以利用svdrpsend.sh脚本发送恶意命令,完全控制视频磁盘录制器系统。
SVDRP是VDR系统中用于远程控制视频磁盘录制器的协议,默认监听在TCP端口6419。该协议设计时缺乏适当的输入验证和权限控制,允许远程连接者执行系统命令。漏洞存在于SVDRP命令处理逻辑中,攻击者可以通过发送特制的命令字符串,绕过正常的命令解析机制,实现任意命令执行。具体来说,攻击者利用svdrpsend.sh脚本构造包含恶意payload的SVDRP命令,当这些命令被VDR服务处理时,payload会被系统shell解释执行。由于VDR通常以root或高权限用户运行,攻击者可以获取系统最高权限,实现完全远程控制。