CVE-2025-66259CVE-2025-66259是DB Electronica Telecomunicazioni S.p.A.公司生产的Mozart FM Transmitter系列设备中存在的一个严重安全漏洞。该漏洞影响30、50、100、300、500、1000、2000、3000、3500、6000、7000等多个型号版本。漏洞根源在于main_ok.php文件中的用户输入过滤不当,攻击者可以通过构造恶意的数据/时间参数,直接将用户输入传递给系统date shell命令,从而实现命令注入并执行任意代码。由于该漏洞的CVSS评分高达9.8(满分10分),属于紧急严重级别,攻击者可获得设备的root权限,完全控制受影响系统。此漏洞可通过网络远程利用,攻击复杂度低,无需认证或用户交互即可发起攻击。成功利用后,攻击者可窃取敏感配置信息、监听或篡改FM广播内容,甚至将设备纳入僵尸网络用于进一步攻击。鉴于该漏洞的严重性和广泛影响范围,建议相关用户立即采取修复措施。
该漏洞属于典型的命令注入(Command Injection)漏洞。在Mozart FM Transmitter设备的web管理界面中,main_ok.php文件负责处理用户提交的日期和时间配置参数。问题在于程序直接使用用户输入的data/hour/time参数构造date命令,而未进行任何输入验证或过滤。攻击者可以通过在参数中注入shell元字符(如分号、管道符、反引号等)来执行额外系统命令。例如,在时间参数中插入分号后可执行多条命令,或者使用反引号包裹恶意命令使其被先执行后结果再传入date命令。由于设备以root权限运行web服务,注入的命令同样以root权限执行,攻击者可获得完全的系统控制权。攻击者首先需要登录设备管理界面(可能使用默认凭证或已获取的认证信息),然后构造特定的HTTP请求将恶意payload注入到时间参数中,触发命令执行。整个攻击过程简单直接,利用难度低,但危害极大。