关键信息 标题: SOUND4 IMPACT/FIRST/PULSE/Eco <=2.x (sound4server) Hardcoded Credentials 顾问 ID: ZSL-2022-5729 类型: 本地/远程 影响: 权限提升、系统访问、拒绝服务 风险: 4/5 发布日期: 14.12.2022 摘要: 描述了SOUND4系列产品的功能和特点,强调其在音频处理和广播标准兼容性上的优势。 描述: 服务器二进制文件在Linux和Windows发行包中包含硬编码的凭据,这些凭据未暴露给最终用户,也无法通过常规操作更改。修改凭据需使用SOUND4 Remote Control厚客户端。 技术细节 厂商: SOUND4 Ltd. 受影响的版本: - FM/HD Radio Processing: Impact/Pulse/First 版本 2: 1.1/2.15等 - Voice Processing: BigVoice1/2版本等 - Web-Audio Streaming: Stream 版本等 - Watermarking: WM2 (Kantar Media) 1.11 测试环境 使用Apache/2.4.25、OpenSSL、PHP等环境,测试于多个操作系统上。 厂商状态 漏洞发现于26.09.2022,联系厂商于30.09.2022,但13.12.2022未收到回复,最终发布公共安全公告。 其他信息 PoC: sound4_hardcoded.txt 发现者: Gjoko Krstic 参考资料: 提供了相关漏洞信息的链接 更新记录: 详细记录了公告的发布和修改时间点。 联系方式: 零科学实验室的网站和邮件信息。