CVE-2025-66250漏洞分析:未授权任意文件上传漏洞详解

本文详细分析了CVE-2025-66250漏洞,该漏洞存在于DB Electronica Telecomunicazioni S.p.A. Mozart FM发射器多个版本中,攻击者可通过status_contents.php文件实现未授权任意文件上传,CVSS评分高达9.2分。

概述

CVE-2025-66250是一个未授权任意文件上传漏洞,影响DB Electronica Telecomunicazioni S.p.A. Mozart FM发射器的多个版本。

漏洞描述

在DB Electronica Telecomunicazioni S.p.A. Mozart FM发射器版本30、50、100、300、500、1000、2000、3000、3500、6000、7000中,存在未授权任意文件上传漏洞。攻击者可以通过/var/tdf/status_contents.php路径执行未授权的任意文件上传操作。

漏洞信息

发布日期: 2025年11月26日 01:16
最后修改: 2025年11月26日 01:16
远程利用:
漏洞来源: b7efe717-a805-47cf-8e9a-921fca0ce0ce

受影响产品

目前尚未记录具体的受影响产品信息。

受影响厂商总数: 0 | 产品总数: 0

CVSS评分

评分: 9.2
版本: CVSS 4.0
严重等级: 严重
来源: b7efe717-a805-47cf-8e9a-921fca0ce0ce

解决方案

  • 限制文件上传功能仅对认证用户开放
  • 为文件上传功能实现身份验证
  • 验证上传的文件类型
  • 对所有用户输入进行清理
  • 更新软件到最新版本

相关参考

URL: https://www.abdulmhsblog.com/posts/webfmvulns/

CWE关联

CWE-434: 无限制上传危险类型文件

CAPEC关联

CAPEC-1: 访问未受ACL适当约束的功能

漏洞历史

2025年11月26日 - 由b7efe717-a805-47cf-8e9a-921fca0ce0ce接收新CVE

变更记录:

  • 添加漏洞描述
  • 添加CVSS 4.0评分
  • 添加CWE-434关联
  • 添加参考链接

CVSS 4.0评分详情

基础CVSS评分: 9.2

攻击向量: 网络
攻击复杂度:
攻击要求:
所需权限:
用户交互:
机密性影响:
完整性影响:
可用性影响:
次级机密性影响:
次级完整性影响:
次级可用性影响:

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次