خانه » CVE-2025-10325
هشدار‌های سایبری

CVE-2025-10325

Wavlink WL-WN578W2 Login.Cgi Sub_401BA4 Command Injection

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 295 بازدید
  • شناسه CVE-2025-10325 :CVE
  • CWE-77, CWE-74 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 12, 2025
  • به روز شده: سپتامبر 12, 2025
  • امتیاز: 6.3
  • نوع حمله: Command Injection
  • اثر گذاری: Unknown
  • حوزه: تجهیزات شبکه و امنیت
  • برند: Wavlink
  • محصول: WL-WN578W2
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

یک آسیب‌پذیری با شدت متوسط در روتر Wavlink WL-WN578W2 نسخه فریم‌ور 221110 (M78W2_V221110) شناسایی شده است که توابع sub_401340/sub_401BA4 در فایل /cgi-bin/login.cgi را تحت تأثیر قرار می‌دهد. این ضعف امنیتی از طریق دستکاری پارامتر ipaddr منجر به تزریق فرمان (Command Injection) می‌شود.

توضیحات

آسیب‌پذیری CVE-2025-10325 در روتر Wavlink WL-WN578W2 با نسخه فریم‌ور 221110 از نوع تزریق فرمان است و مطابق با CWE-77 و CWE-74 طبقه‌بندی می‌شود.

این ضعف امنیتی در توابع sub_401340/sub_401BA4 فایل /cgi-bin/login.cgiقرار دارد؛ پارامتر ipaddr بدون اعتبارسنجی یا پاکسازی ورودی مستقیماً در دستورات سیستم (مانند فراخوانی اسکریپت applogin.sh) قرار می گیرد و به مهاجم اجازه می دهد با افزودن کاراکترهای خاص از زمینه دستور اصلی خارج شده و دستورات دلخواه را اجرا کند.

این آسیب‌پذیری از راه دور با نیاز به احراز هویت اولیه و بدون تعامل کاربر قابل بهره‌برداری است. در واقع، مهاجم ابتدا باید اطلاعات احراز هویت معتبر را به دست آورد، سپس با ارسال درخواست POST به /cgi-bin/login.cgi (مثلا page=login یا page=sys_login1) و دستکاری پارامتر ipaddr حمله را اجرا کند.

پیامدهای آن شامل تأثیر محدود بر محرمانگی با دسترسی به فایل‌های حساس مانند تنظیمات دستگاه یا اطلاعات احراز هویت، یکپارچگی با امکان تغییر تنظیمات یا قرار دادن اسکریپت‌های مخرب و در دسترس‌پذیری با احتمال اختلال در سرویس روتر است.

کد اثبات مفهومی (PoC) در GitHub منتشر شده که نشان می‌دهد با قرار دادن فرمانی مانند curl در پارامتر ipaddr و ارسال درخواست POST به /cgi-bin/login.cgi (مثلاً page=login یا page=sys_login1)، مشروط بر داشتن رمز عبور رمزنگاری‌شده معتبر می توان فرمان را اجرا کرد. تاکنون توسعه دهندگان Wavlink به اطلاع‌رسانی اولیه پاسخ نداده و پچ رسمی منتشر نکرده اند.

CVSS

Score Severity Version Vector String
5.3 MEDIUM 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P
6.3 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:W/RC:R
6.3 MEDIUM 3.0 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:W/RC:R
6.5 2.0 AV:N/AC:L/Au:S/C:P/I:P/A:P/E:POC/RL:W/RC:UR

 لیست محصولات آسیب پذیر

Versions Product
affected at 221110 WL-WN578W2

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که روتر Wavlink را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
988 site:.ir “Wavlink” “router” Wavlink router

 نتیجه گیری

این آسیب‌پذیری با شدت متوسط در روتر Wavlink WL-WN578W2 به دلیل عدم اعتبارسنجی پارامتر ipaddr، امکان تزریق فرمان (Command Injection) را فراهم می‌کند و می‌تواند منجر به اجرای دستورات دلخواه، دسترسی به اطلاعات حساس یا کنترل کامل دستگاه شود. با توجه به عدم انتشار پچ رسمی اجرای فوری اقدامات زیر برای جلوگیری از آسیب‌پذیری و کاهش ریسک ضروری است:

  • بررسی به‌روزرسانی فریم‌ور: به طور منظم وب‌سایت رسمی Wavlink را بررسی کرده و در صورت انتشار پچ، فوراً آن را نصب نمایید.
  • محدودسازی دسترسی: دسترسی از راه دور به پنل مدیریت وب را غیرفعال کنید، دسترسی به پورت‌های مدیریتی را به آدرس‌های IP مجاز محدود نمایید و در صورت امکان فقط از شبکه مدیریت یا VPN برای ورود استفاده کنید.
  • استفاده از HTTPS و تغییر رمزها: اطمینان حاصل کنید رابط مدیریتی روی HTTPS قرار دارد و رمزهای پیش‌فرض و تمامی اطلاعات احراز هویت مدیریتی فوراً تغییر یابند.
  • فیلترکردن ورودی‌ها: از فایروال اپلیکیشن وب (WAF) برای مسدودسازی درخواست‌های POST مشکوک به /cgi-bin/login.cgi با پارامترهای ipaddr حاوی کاراکترهای خاص مانند استفاده کنید.
  • نظارت بر ترافیک: لاگ‌های روتر و شبکه را برای درخواست‌های غیرعادی مانند تزریق curl یا اجرای دستورات مشکوک بررسی کنید و از ابزارهای IDS/IPS برای تشخیص الگوهای Command Injection بهره ببرید.
  • ایزوله‌سازی دستگاه: دستگاه را در شبکه‌ای جدا (segmentation/DMZ) قرار دهید و ویژگی‌های غیرضروری مانند مدیریت از راه دور را غیرفعال کنید.
  • تست و اسکن: دستگاه را با ابزارهای اسکن آسیب‌پذیری مانند Nessus یا OpenVAS بررسی کنید و در صورت نیاز، بررسی ایمن و با مجوز (در محیط آزمایشی ایزوله) برای تأیید آسیب‌پذیری انجام دهید. در صورت یافتن شواهد سوءاستفاده، فورا اطلاعات احراز هویت را تغییر دهید.
  • جایگزینی دستگاه: در صورت عدم انتشار پچ، روتر را با مدل‌های جدیدتر و امن‌تر از برندهای معتبر جایگزین کنید.

اجرای این اقدامات، ریسک تزریق فرمان را به حداقل رسانده و تا زمان انتشار پچ رسمی، سطح امنیت روتر Wavlink WL-WN578W2 را بهبود می‌بخشد.

امکان استفاده در تاکتیک های Mitre Attack

Execution (TA0002)
پارامتر ipaddr در /cgi-bin/login.cgi بدون پاکسازی وارد فراخوانی اسکریپت سیستم می‌شود؛ لذا با تزریق محتوای crafted مهاجم می‌تواند فرمان سیستمی اجرا کند

Persistence (TA0003)
پس از اجرای دستور، مهاجم می‌تواند اسکریپت‌ها، cron jobها یا تغییرات firmware/boot scripts را برای حفظ دسترسی طولانی‌مدت نصب کند که بقای نفوذ را تضمین می‌کند.

Privilege Escalation (TA0004)
فرمان‌ها در زمینه سرویس سیستم اجرا می‌شوند و ممکن است با دسترسی به حساب‌های سیستمی (root/uid0) همراه باشند؛ بنابراین اجرای فرمان می‌تواند منجر به افزایش حقوق عملیاتی و کنترل کامل دستگاه شود.

Defense Evasion (TA0005)
مهاجم می‌تواند لاگ‌های دستگاه را پاک یا تغییر دهد (حذف شواهد)، فایل‌های پیکربندی را جابه‌جا کند یا خروجی فرمان‌ها را مخفی نماید تا شناسایی و تحلیل حادثه را دشوار سازد.

Credential Access (TA0006)
با اجرای فرمان، مهاجم قادر است فایل‌های پیکربندی و پایگاه داده محلی را خوانده و credential های ذخیره‌شده (رمزهای عبور، توکن‌ها) را استخراج کند که برای گسترش نفوذ مفید است.

Discovery (TA0007)
دستورات اجراشده می‌توانند اطلاعات شبکه، جدول‌های NAT، لیست دستگاه‌های متصل، و سرویس‌های فعال را فهرست کنند تا اهداف بعدی و مسیرهای حرکت جانبی تعیین شود.

Lateral Movement (TA0008)
با credential های به‌دست‌آمده یا با استفاده از قابلیت‌های مسیریابی روتر، مهاجم می‌تواند به دستگاه‌های داخلی متصل شود یا اتصالات SSH/Telnet را برای حرکت جانبی و نفوذ به سرورهای داخلی استفاده کند.

Impact (TA0040)
پیامدهای عملی شامل تغییر یا حذف تنظیمات دستگاه، قطع سرویس شبکه (DoS)، رهگیری یا تغییر ترافیک (man-in-the-middle)، و در بدترین حالت قرار دادن backdoor روی روتر برای کنترل بلندمدت و نفوذ به سامانه‌های حیاتی است.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-10325
  2. https://www.cvedetails.com/cve/CVE-2025-10325/
  3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10325
  4. https://vuldb.com/?submit.643436
  5. https://vuldb.com/?submit.643437
  6. https://vuldb.com/?id.323751
  7. https://vuldb.com/?ctiid.323751
  8. https://github.com/ZZ2266/.github.io/blob/main/WAVLINK/WL-WN578W2/login.cgi/login/readme.md
  9. https://nvd.nist.gov/vuln/detail/CVE-2025-10325
  10. https://cwe.mitre.org/data/definitions/77.html
  11. https://cwe.mitre.org/data/definitions/74.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.