CVE-2023-53741: CWE-384: DB Elettronica Telecomunicazioni SpA Screen SFT DAB系列 - 紧凑型无线电DAB发射机中的会话固定漏洞

严重性：高 类型：漏洞

CVE-2023-53741

Screen SFT DAB 1.9.3 包含一个弱会话管理漏洞，该漏洞允许攻击者通过复用绑定到IP地址的会话标识符来绕过身份验证控制。攻击者可以利用易受攻击的API，通过拦截和复用已建立的会话来未经适当授权删除用户账户。

AI分析

技术摘要

CVE-2023-53741 标识了DB Elettronica Telecomunicazioni SpA生产的Screen SFT DAB系列紧凑型无线电DAB发射机软件版本1.9.3中存在一个会话固定漏洞（CWE-384）。该漏洞源于弱会话管理，即会话标识符仅绑定到IP地址且可被攻击者复用。此缺陷使得能够拦截或预测有效会话ID的攻击者无需凭证或用户交互即可绕过身份验证控制。攻击者可以利用易受攻击的API执行未经授权的管理操作，包括删除用户账户，从而损害设备完整性和管理。该漏洞可通过网络远程利用（攻击向量：相邻网络），攻击复杂度低，且无需权限或用户交互，如CVSS 4.0向量AV:A/AC:L/PR:N/UI:N所示。对机密性无影响，但由于未经授权的账户删除，完整性影响为高，可用性影响为低。该漏洞影响产品的1.9.3版本，目前尚未发布补丁。尚无已知的在野利用报告，但由于设备的性质及其在广播基础设施中的作用，风险仍然显著。

潜在影响

对于欧洲组织，特别是使用Screen SFT DAB系列发射机的广播公司和电信运营商，此漏洞构成重大风险。未经授权删除用户账户可能导致管理控制权丢失，可能中断广播服务或促成进一步的恶意活动，如配置更改或拒绝服务。广播传输的完整性可能受到损害，影响服务可靠性和法规遵从性。鉴于数字音频广播在公共通信和紧急警报中的关键作用，漏洞利用可能产生更广泛的社会影响。此外，未经授权的访问可能暴露敏感的操作数据或促成在组织网络内的横向移动。缺乏身份验证要求和易于利用的特性提高了威胁级别，特别是在网络分段或访问控制不足的环境中。

缓解建议

组织应立即审核其Screen SFT DAB系列发射机的部署，以识别受影响的版本（1.9.3）。应使用防火墙和网络分段限制对管理界面的网络访问，仅限受信任的管理员访问。实施VPN或安全隧道进行远程管理，以防止会话劫持。由于没有官方补丁可用，应考虑应用补偿性控制，例如执行严格的会话过期策略和监控异常的会话复用模式。尽可能禁用或限制API访问，并在管理界面上强制执行多因素身份验证（如果支持）。定期审查用户账户和日志以查找未经授权的更改。与供应商联系获取更新或补丁，并计划在可用时及时部署。进行侧重于会话管理的渗透测试，以验证缓解措施的有效性。

受影响国家

意大利、德国、法国、英国、西班牙、荷兰

来源：CVE数据库 V5 发布日期：2025年12月10日 星期三

技术详情

• 数据版本： 5.2
• 分配者简称： VulnCheck
• 预留日期： 2025-12-07T13:16:38.432Z
• Cvss版本： 4.0
• 状态： 已发布
• 威胁ID： 6939e1d75ab76fdc5f21095a
• 添加到数据库： 2025/12/10，下午9:10:47
• 最后丰富： 2025/12/10，下午9:11:03
• 最后更新： 2025/12/11，上午7:33:18
• 浏览量： 12