CVE-2025-63951CVE-2025-63951是发现于MiczFlor RPi-Jukebox-RFID项目中的一个高危安全漏洞,CVSS评分达到7.5分。该漏洞存在于项目的rss-mp3.php脚本中,由于对用户输入的'rss' GET参数缺乏有效验证,直接将该参数传递给PHP的unserialize()函数进行处理。这种不安全的反序列化做法允许远程未认证攻击者注入任意PHP对象,可能导致应用程序出现异常行为或完全拒绝服务。该漏洞影响项目在2025年10月7日之前的所有版本,攻击者可利用此漏洞通过网络发起攻击,无需任何认证或用户交互。漏洞的可用性影响评级为高,表明其对服务可用性构成严重威胁。
该漏洞的核心问题在于PHP的unserialize()函数对用户可控输入的安全处理。在rss-mp3.php脚本中,攻击者可以通过'rss' GET参数提交精心构造的序列化数据。PHP的反序列化机制会尝试将序列化字符串还原为PHP对象,这个过程可能触发魔术方法(如__wakeup、__destruct等),从而执行任意代码或造成应用程序崩溃。由于参数未经过滤或验证直接传入unserialize(),攻击者可以利用PHP对象注入技术构造恶意载荷。虽然CVSS评级主要指向拒绝服务影响,但在特定配置下,该漏洞可能被利用执行任意代码或读取敏感文件。防御此类漏洞的最佳实践是避免使用unserialize()处理用户输入,改用json_decode()等更安全的替代方案。