CRITICAL🇬🇧 English

CVE-2025-25038

MiniDVBLinux ≤5.4 — OS command injection z pominięciem uwierzytelnienia

CVSS 9.3v4.0pub. 2025-06-20upd. 2025-12-22

W MiniDVBLinux w wersji 5.4 i wcześniejszych istnieje podatność typu command injection w interfejsie zarządzania przez przeglądarkę. Zdalny, nieuwierzytelniony atakujący może wykonać dowolne polecenia systemowe z uprawnieniami użytkownika root, co oznacza pełne przejęcie kontroli nad urządzeniem.

Pokaż oryginał (EN)

An OS command injection vulnerability exists in MiniDVBLinux version 5.4 and earlier. The system’s web-based management interface fails to properly sanitize user-supplied input before passing it to operating system commands. A remote unauthenticated attacker can exploit this vulnerability to execute arbitrary commands as the root user, potentially compromising the entire device. Exploitation evidence was observed by the Shadowserver Foundation on 2024-04-10 UTC.

🤖 Analiza AI
Jak działa

Interfejs webowy systemu MiniDVBLinux nie przeprowadza właściwej walidacji ani sanityzacji danych dostarczanych przez użytkownika przed przekazaniem ich do poleceń systemu operacyjnego. Atakujący może wstrzyknąć złośliwe polecenia poprzez odpowiednio spreparowane żądanie HTTP, które zostaną wykonane przez system bez żadnego mechanizmu uwierzytelnienia. Podatność sklasyfikowana jest jako CWE-78 (OS Command Injection) i nie wymaga żadnych uprawnień ani interakcji po stronie ofiary. Fundacja Shadowserver odnotowała dowody aktywnego wykorzystania tej podatności w środowiskach produkcyjnych.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnych poleceń z uprawnieniami roota, co prowadzi do pełnego przejęcia kontroli nad urządzeniem — w tym do odczytu i modyfikacji danych, instalacji złośliwego oprogramowania oraz dalszego lateral movement w sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na brak mechanizmu uwierzytelnienia jako warstwy ochronnej, urządzenia podatne nie powinny być dostępne bezpośrednio z Internetu — należy je izolować za firewallem lub segmentować sieciowo do czasu wdrożenia aktualizacji.

Kogo dotyczy

MiniDVBLinux w wersji 5.4 i wcześniejszych

Uwagi

Mimo że pole CISA KEV wskazuje brak wpisu, fundacja Shadowserver zarejestrowała dowody aktywnego eksploatowania tej podatności w dniu 2024-04-10 UTC. Dostępne są publiczne exploity (Exploit-DB #51096, Packet Storm Security), co znacząco podnosi ryzyko. Administratorzy powinni traktować tę podatność priorytetowo pomimo braku formalnego wpisu KEV.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Minidvblinux

    APP
    Minidvblinux
    ≤ 5.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2022-50691CRITICAL9.3PL ✓ten sam produkt

MiniDVBLinux 5.4 — zdalny RCE jako root przez command injection

CVE-2023-53771CRITICAL9.3PL ✓ten sam produkt

MiniDVBLinux 5.4 — Authentication Bypass umożliwiający zmianę hasła root

CVE-2023-53770HIGH8.7ten sam produkt

MiniDVBLinux 5.4 contains an unauthenticated configuration download vulnerability that allows remote attackers...

CVE-2023-53772HIGH8.7ten sam produkt

MiniDVBLinux 5.4 contains an arbitrary file disclosure vulnerability that allows attackers to read sensitive s...

CVE-2023-53773HIGH8.7ten sam produkt

MiniDVBLinux 5.4 contains an unauthenticated vulnerability in the tv_action.sh script that allows remote attac...

CVE-2025-25038 — MiniDVBLinux ≤5.4 — OS command injection z pominięciem uwierzytelnienia — CRITICAL 9.3 | CVEbaza.pl