漏洞关键信息 标题: SOUND4 IMPACT/FIRST/PULSE/Eco <=2.x (password) Unauthenticated Command Injection 公告ID: ZSL-2022-5738 类型: Local/Remote 影响: System Access, DoS 风险: 5/5 发布日期: 14.12.2022 漏洞描述 该应用存在一个未身份验证的OS命令注入漏洞。攻击者可以通过 HTTP POST参数注入并执行任意shell命令,这主要通过index.php和login.php脚本实现。 影响的版本 FM/HD Radio Processing: Impact/Pulse/First (Version 2: 1.1/2.15) Impact/Pulse/First (Version 1: 2.1/1.69) Impact/Pulse Eco 1.16 Voice Processing: BigVoice4 1.2, BigVoice2 1.30 Web-Audio Streaming: Stream 1.1/2.4.29 Watermarking: WM2 (Kantar Media) 1.11 测试环境 Apache/2.4.25 (Unix) OpenSSL/1.0.2k PHP/7.1.1 GNU/Linux 5.10.43 (armv7l) GNU/Linux 4.9.228 (armv7l) 通用变更记录 [14.12.2022] - 初始发布 [28.12.2022] - 添加参考文献[1] [20.04.2023] - 添加参考文献[2]和[3] [24.12.2025] - 添加参考文献[4]和[5]