CRITICAL🇬🇧 English

CVE-2023-53771

MiniDVBLinux 5.4 — Authentication Bypass umożliwiający zmianę hasła root

CVSS 9.3v4.0pub. 2025-12-09upd. 2025-12-19

MiniDVBLinux 5.4 zawiera podatność typu authentication bypass, która pozwala zdalnym atakującym na zmianę hasła root bez jakiejkolwiek autoryzacji. Jest to szczególnie groźne, ponieważ przejęcie konta root daje pełną kontrolę nad urządzeniem.

Pokaż oryginał (EN)

MiniDVBLinux 5.4 contains an authentication bypass vulnerability that allows remote attackers to change the root password without authentication. Attackers can send crafted POST requests to the system setup endpoint with modified SYSTEM_PASSWORD parameters to reset root credentials.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie HTTP POST do punktu końcowego konfiguracji systemu (system setup endpoint), przekazując zmodyfikowane parametry SYSTEM_PASSWORD. Mechanizm podatności wynika z braku weryfikacji tożsamości użytkownika (CWE-306 — Missing Authentication for Critical Function) przed wykonaniem operacji zmiany hasła. W wyniku tego system akceptuje i przetwarza żądanie bez sprawdzenia, czy nadawca jest uprawniony do dokonania tej zmiany.

Skutki

Atakujący może zresetować hasło konta root na dowolnie wybraną wartość, uzyskując tym samym pełne uprawnienia administracyjne do systemu. Skutkuje to całkowitą utratą poufności i integralności danych na urządzeniu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu sieciowego do interfejsu administracyjnego urządzenia przy użyciu firewall lub segmentacji sieci, aby uniemożliwić nieautoryzowanym hostom wysyłanie żądań do punktu końcowego konfiguracji systemu.

Kogo dotyczy

MiniDVBLinux w wersji 5.4

Uwagi

Dla tej podatności dostępny jest publiczny exploit opublikowany w serwisie Exploit-DB (exploit-db.com/exploits/51094). Podatność została również opisana przez ZeroScience Lab pod identyfikatorem ZSL-2022-5715, co wskazuje na jej odkrycie w 2022 roku mimo późniejszej daty publikacji CVE.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Minidvblinux

    APP
    Minidvblinux
    ≤ 5.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2022-50691CRITICAL9.3PL ✓ten sam produkt

MiniDVBLinux 5.4 — zdalny RCE jako root przez command injection

CVE-2025-25038CRITICAL9.3PL ✓ten sam produkt

MiniDVBLinux ≤5.4 — OS command injection z pominięciem uwierzytelnienia

CVE-2023-53770HIGH8.7ten sam produkt

MiniDVBLinux 5.4 contains an unauthenticated configuration download vulnerability that allows remote attackers...

CVE-2023-53772HIGH8.7ten sam produkt

MiniDVBLinux 5.4 contains an arbitrary file disclosure vulnerability that allows attackers to read sensitive s...

CVE-2023-53773HIGH8.7ten sam produkt

MiniDVBLinux 5.4 contains an unauthenticated vulnerability in the tv_action.sh script that allows remote attac...

CVE-2023-53771 — MiniDVBLinux 5.4 — Authentication Bypass umożliwiający zmianę hasła root — CRITICAL 9.3 | CVEbaza.pl