RPi-Jukebox-RFID漏洞CVE-2025-10370

RPi-Jukebox-RFID 是基于树莓派音乐播放系统，通过RFID卡片、Web应用程序或家庭自动设备触发本地音乐、播客、网络广播和流媒体。

一、基本情况

MiczFlor RPi-Jukebox-RFID 是基于树莓派（Raspberry Pi）开源音乐播放系统，灵感源于德国 Toniebox（专为儿童设计的音频播放器）。

RPi-Jukebox-RFID 支持RFID卡片、网页界面或家庭自动化系统（GPIO控制）触发播放，提供GPIO脚本支持，方便集成家庭自动化设备。

栋科技漏洞库关注到在 MiczFlor RPi-Jukebox-RFID 版本 2.8.0 中发现了一个漏洞，漏洞被追踪为CVE-2025-10370，CVSS 3.X评分3.5。

二、漏洞分析

CVE-2025-10370漏洞是 MiczFlor RPi-Jukebox-RFID 版本 2.8.0 中的安全漏洞，该漏洞影响 /htdocs/userScripts.php 文件中的未知代码。

通过操作自定义脚本参数，可以导致跨站脚本攻击，攻击可以远程执行，该漏洞的利用方法是公开的，可能会被利用。

虽然已提前联系供应商告知此漏洞披露信息，但供应商并未作出任何回应。

三、POC概念验证

管理员已设置登录后刷新可查看

http://192.168.100.101/phoniebox/htdocs/userScripts.php

管理员已设置登录后刷新可查看

四、影响范围

MiczFlor RPi-Jukebox-RFID 2.8.0

五、修复建议

 MiczFlor RPi-Jukebox-RFID > 2.8.0 

六、参考链接

管理员已设置登录后刷新可查看