CVE-2025-63220CVE-2025-63220是存在于Sound4 FIRST网络广播设备基于Web的管理界面中的一个高危远程代码执行漏洞。该漏洞源于固件更新机制缺乏对manual.sh脚本的完整性验证。攻击者可以通过制作恶意固件更新包,在manual.sh脚本中注入任意命令,当管理员将该恶意固件上传并执行更新时,攻击者即可在设备上以高权限执行任意代码。由于该设备通常部署在广播和媒体行业,漏洞可能对音频广播系统的可用性和数据安全造成严重影响。CVSS 3.1评分7.2,属于高危级别漏洞,攻击复杂度低,无需用户交互,但需要高权限认证。
Sound4 FIRST设备的固件更新功能存在严重的输入验证缺陷。漏洞的核心问题在于更新机制未对manual.sh脚本进行任何完整性校验。攻击者首先获取官方固件包,解压后修改manual.sh脚本,在其中注入恶意命令(如反弹shell或添加后门用户)。随后将修改后的文件重新打包为固件更新包。当具有管理权限的用户通过Web界面上传并安装这个恶意固件包时,设备会直接执行manual.sh中注入的恶意命令。由于更新过程以root权限运行,攻击者可以完全控制设备,执行任意系统命令、读取敏感配置信息或建立持久化后门。攻击成功的前提是攻击者需要获得设备的管理界面访问权限(高权限),但一旦获得权限即可实现完全远程控制。