关键漏洞信息 漏洞描述 CVE编号: CVE-2025-57439 产品: Creacast Creabox Manager 漏洞类型: 远程代码执行 (RCE) 影响版本: Firmware Version 4.4.4 攻击向量 网络接口: Web界面 漏洞端点 (需要认证) 利用条件 攻击者必须登录(例如,通过先前的认证绕过或使用被盗凭据) 利用方法 1. 导航到 2. 在配置中注入以下Lua代码: 3. 访问 查看命令输出 反弹Shell 注入以下Lua负载以获取反弹Shell: 在攻击机上设置监听器: 影响 对底层系统的完全root访问 重新接管流媒体基础设施 网络内的横向移动 发现者 Mohamed Shahat 建议修复措施 在 中清理和验证Lua代码输入 限制或禁用Lua环境中的os.execute调用 实施严格的基于角色的访问控制 记录并警报可疑的配置更改 权宜之计 通过IP白名单或VPN限制对 的访问 定期审查和审计配置文件 监控系统日志以检测意外的shell命令执行