CVE-2024-58286：CWE-78 在 vexorian 的 dizqueTV 中对用于操作系统命令的特殊元素的不当中和（操作系统命令注入）

严重性：严重 类型：漏洞 CVE：CVE-2024-58286

dizqueTV 1.5.3 包含一个远程代码执行漏洞，允许攻击者通过 FFMPEG 可执行路径设置注入任意命令。攻击者可以通过利用不充分的输入验证，使用 shell 命令修改可执行路径来读取 /etc/passwd 等系统文件。

AI 分析

技术总结

CVE-2024-58286 是一个被归类为 CWE-78 的关键操作系统命令注入漏洞，影响 vexorian 的 dizqueTV 版本 1.5.3。该漏洞存在于应用程序处理 FFMPEG 可执行路径配置设置的方式中，该设置缺乏适当的输入验证和特殊 shell 字符的中和。攻击者可以通过将任意 shell 命令注入到可执行路径参数中来利用此漏洞，随后应用程序会执行这些命令。这导致无需身份验证或用户交互即可实现远程代码执行（RCE），使其易于通过网络被利用。

成功利用此漏洞可允许攻击者在主机系统上执行任意命令，可能读取敏感文件（如 /etc/passwd）、修改系统配置或部署恶意软件。该漏洞的 CVSS 4.0 评分为 9.3，反映了其关键性质：网络攻击向量、无需权限或用户交互、对机密性、完整性和可用性影响高。尽管目前尚未报告在野的已知漏洞利用，但该漏洞的特性使其成为未来被利用的主要候选。在发布时缺乏可用补丁增加了组织采取缓解措施或监控可疑活动的紧迫性。dizqueTV 是一个媒体流服务器软件，常用于需要视频内容管理的环境中，使其成为试图破坏服务或在媒体基础设施中获取立足点的攻击者的高价值目标。

潜在影响

对于欧洲组织而言，此漏洞构成严重风险，特别是那些使用 dizqueTV 进行内容分发的媒体、广播和流媒体行业组织。利用该漏洞可能导致未经授权的敏感信息披露、系统接管和服务中断，影响业务连续性以及 GDPR 等法规下的数据隐私合规性。如果软件暴露在互联网上或在内部网络内可访问，无需身份验证即可远程执行任意命令的能力会增加广泛被攻陷的可能性。攻击者可以利用此漏洞在网络内横向移动、提升权限或部署勒索软件。数据泄露或服务中断导致的声誉损害和潜在监管罚款可能相当可观。此外，依赖 dizqueTV 进行关键媒体工作流的组织可能会遇到运营停机，影响客户满意度和收入流。

缓解建议

应立即采取的缓解措施应侧重于仅允许受信任的管理员访问 dizqueTV 配置界面，理想情况下通过网络分段和强身份验证控制来实现。组织应对 FFMPEG 可执行路径设置实施严格的输入验证和清理，以防止注入 shell 元字符。在官方补丁发布之前，考虑禁用或限制修改 FFMPEG 路径的能力，或者以最小权限运行应用程序，以限制潜在利用的影响。监控系统日志和命令执行模式中与 dizqueTV 进程相关的异常情况，有助于早期检测利用尝试。使用应用层防火墙或具有针对命令注入模式特征的入侵检测系统。定期更新和审核 dizqueTV 安装及相关依赖项。与供应商及时沟通补丁发布情况，并在补丁可用后立即应用。最后，为管理 dizqueTV 的管理员提供安全意识培训，以识别和响应可疑活动。

受影响的国家

德国、法国、英国、荷兰、瑞典、意大利、西班牙

来源：CVE 数据库 V5 发布日期：2025年12月11日 星期四