一、 漏洞 CVE-2022-50691 基础信息
漏洞信息
# MiniDVBLinux 5.4 命令注入漏洞
## 概述
MiniDVBLinux 5.4 存在远程命令执行漏洞,攻击者可通过 'command' GET 参数在目标系统上以 root 权限执行任意命令。
## 影响版本
MiniDVBLinux 5.4
## 细节
攻击者可向 `/tpl/commands.sh` 端点发送包含恶意命令的 GET 请求,利用 'command' 参数触发系统命令执行。该接口未对输入进行验证和过滤,且以 root 权限运行,导致命令直接在系统 shell 中执行。
## 影响
未经身份验证的远程攻击者可利用该漏洞获取系统的 root 权限,完全控制受影响设备。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
MiniDVBLinux 5.4 Remote Root Command Execution via commands.sh
来源:美国国家漏洞数据库 NVD
漏洞描述信息
MiniDVBLinux 5.4 contains a remote command execution vulnerability that allows unauthenticated attackers to execute arbitrary commands as root through the 'command' GET parameter. Attackers can exploit the /tpl/commands.sh endpoint by sending malicious command values to gain root-level system access.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
MiniDVBLinux 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
MiniDVBLinux是德国MiniDVBLinux公司的一款多媒体中心软件。 MiniDVBLinux 5.4版本存在安全漏洞,该漏洞源于command GET参数允许未经验证的攻击者执行任意命令,可能导致远程命令执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-50691 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Analysis of CVE-2022-50691 | https://github.com/b1gchoi/CVE-2022-50691 | POC详情 |
三、漏洞 CVE-2022-50691 的情报信息
- https://packetstormsecurity.com/files/168749/exploit
标题: Zero Science Lab » MiniDVBLinux 5.4 Remote Root Command Execution Vulnerability -- 🔗来源链接
标签:third-party-advisory
神龙速读:### 漏洞关键信息 **漏洞标题:** MiniDVBLinux 5.4 Remote Root Command Execution Vulnerability **漏洞ID:** ZSL-2022-5718 **漏洞类型:** Local/Remote **影响:** System Access, DoS **风险等级:** 5/5 **发布日期:** 16.10.2022 **摘要:** MiniDVBLinux(TM) 分发版(MLD)提供了一个简单的方法将标准PC转换为基于视频磁盘录像机(VDR)的多媒体中心。该程序存在一个OS命令执行漏洞,可通过`/tpl/commands.sh`中的`command` GET参数执行任意命令。 **受影响版本:** <=5.4 **供应商:** MiniDVBLinux - https://www.minidvblinux.de **测试版本:** - MiniDVBLinux 5.4 - BusyBox v1.25.1 - 架构: armhf, armhf-rpi2 - 内核: GNU/Linux 4.19.127.203 (armv7l) - VideoDiskRecorder 2.4.6 **供应商状态:** - [24.09.2022] 发现漏洞。 - [27.09.2022] 联系供应商。 - [15.10.2022] 供应商未回应。 - [16.10.2022] 发布公开安全公告。 **PoC:** mlhd_root1.py **发现人:** Gjoko Krstic - <gjoko@zeroscience.mk> **参考资料:** - [1] https://packetstormsecurity.com/files/168749/ **更新日志:** - [16.10.2022] 初始发布 - [04.12.2022] 添加参考 [1]
标题: MiniDVBLinux 5.4 Remote Root Command Execution via commands.sh | Advisories | VulnCheck -- 🔗来源链接
标签:third-party-advisory
神龙速读:### 漏洞关键信息 **标题** - MiniDVLinux 5.4 Remote Root Command Execution via commands.sh **严重程度** - CRITICAL **日期** - December 30, 2025 **影响** - MiniDVLinux <= 5.4 **CVE** - CVE-2022-50691 **CVSS** - Score: 9.8 - Vector: CVSS:3.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N **参考资料** - Zero Science Lab Disclosure (ZSL-2022-5718) - Packet Storm Security Exploit Entry **致谢** - LiquidWorm as Gjoko Krstic of Zero Science Lab **描述** - MiniDVLinux 5.4 含有一个远程命令执行漏洞,允许未经身份验证的攻击者通过 'command' GET 参数以 root 身份执行任意命令。攻击者可以利用 /tpl/commands.sh 端点,通过发送恶意命令值来获得 root 级别的系统访问权限。
- https://nvd.nist.gov/vuln/detail/CVE-2022-50691
四、漏洞 CVE-2022-50691 的评论
暂无评论