关键漏洞信息 漏洞名称: Anevia Flamingo XL 3.2.9 - Remote Root Jailbreak EDB-ID: 51516 CVE: N/A 作者: LIQUIDWORM 类型: REMOTE 平台: HARDWARE 日期: 2023-06-14 受影响版本: 3.2.9 硬件版本: 1.0 SoapLive版本: 2.0.3 漏洞描述 Flamingo XL 是一款用于酒店和企业市场的新型模块化和高密度 IPTV 后端产品。Flamingo XL 从卫星、电缆、数字地面和模拟源捕获实时电视和广播内容,然后通过 IP 网络将其流式传输到 STBs、PCs 或其他 IP 连接设备。Flamingo XL 基于一个模块化 4U 机架硬件平台,允许酒店和企业视频服务提供商通过内部 IP 网络从各种来源提供混合频道。 漏洞发现者 Gjoko 'LiquidWorm' Krstic @zeroscience 顾问 ID 和 URL ID: ZSL-2023-5780 URL: https://www.zeroscience.mk/en/vulnerabilities/ZSL-2023-5780.php 漏洞详情 测试命令: 命令提示符: 可用命令: bonding, config, date, dns, enable, ethconfig, exit, exp, firewall, help, hostname, http, igmpq, imp, ipconfig, license, log, mail, passwd, persistent_logs, ping, reboot, reset, route, serial, settings, sslconfig, tcpdump, timezone, traceroute, upgrade, uptime, version, vlanconfig 文件系统和目录结构: 列出了 , 等目录下的文件和权限。 结论 该漏洞允许远程攻击者通过 SSH 进行 root 访问并执行各种命令,从而完全控制设备。