خانه » CVE-2025-10401
هشدار‌های سایبری

CVE-2025-10401

D-Link DIR-823x Diag_ping Command Injection

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 12 بازدید
هشدار سایبری CVE-2025-10401
  • شناسه CVE-2025-10401 :CVE
  • CWE-77, CWE-74 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 14, 2025
  • به روز شده: سپتامبر 14, 2025
  • امتیاز: 6.3
  • نوع حمله: Command Injection
  • اثر گذاری: Arbitrary code execution(ACE)
  • حوزه: تجهیزات شبکه و امنیت
  • برند: D-link
  • محصول: DIR-823X
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

آسیب‌پذیری در روتر D-Link DIR-823x تا نسخه فریم‌ور 250416 در فایل /goform/diag_ping ناشی از عدم اعتبارسنجی کافی پارامتر target_addr است که امکان تزریق فرمان (Command Injection) را فراهم می‌کند. این ضعف امنیتی به مهاجمان احراز هویت‌شده اجازه می‌دهد از راه دور دستورات دلخواه را اجرا کنند.

توضیحات

آسیب‌پذیری CVE-2025-10401 در روتر D-Link DIR-823x ناشی از ضعف در فایل /goform/diag_ping است که هنگام پردازش متغیرهای محیطی، پارامترهای ورودی مانند target_addr را به‌طور کامل اعتبارسنجی نمی‌کند. این ضعف مطابق با استانداردهای CWE-77 و CWE-74 طبقه‌بندی می‌شود و در نسخه فریم‌ور 250416 وجود دارد.

مهاجم می‌تواند با ارسال درخواست HTTP POST (پروتکل انتقال درخواست های وب) مخرب به /goform/diag_ping و دستکاری پارامتر target_addr، دستورات دلخواه را روی سیستم اجرا کند. این ضعف امنیتی در رابط مدیریت وب رخ می‌دهد و نیاز به احراز هویت دارد اما با پیچیدگی پایین، بدون تعامل کاربر و از طریق شبکه قابل بهره‌برداری است.

پیامدهای این آسیب‌پذیری شامل نقض محدود محرمانگی، یکپارچگی و در دسترس‌پذیری است و در شرایط خاص می‌تواند منجر به اجرای کد دلخواه یا دسترسی کامل به سیستم شود.

کدِ اثباتِ مفهومی (PoC) منتشر شده نشان می‌دهد که پس از احراز هویت با استفاده از اسکریپت پایتون و کتابخانه requests، می‌توان پیلودی مثل “127.0.0.1;ls;” را به /goform/diag_ping ارسال کرد و فرمان‌های دلخواه را اجرا نمود. تاکنون شرکت D-Link برای این آسیب پذیری، پچ یا به روزرسانی امنیتی منتشر نکرده است.

CVSS

Score Severity Version Vector String
5.3 MEDIUM 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P
6.3 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R
6.3 MEDIUM 3.0 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R
6.5 2.0 AV:N/AC:L/Au:S/C:P/I:P/A:P/E:POC/RL:ND/RC:UR

 لیست محصولات آسیب پذیر

Versions Product
affected at 250416 DIR-823x

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که روتر D-Link را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product 
1,190 site:.ir “D-Link router” D-Link router

 نتیجه گیری

این آسیب‌پذیری در روتر D-Link DIR-823x با اینکه شدت متوسطی دارد اما تهدیدی قابل توجه برای اجرای دستورات دلخواه ایجاد می‌کند. با توجه به عدم انتشار پچ رسمی، اجرای اقدامات زیر ضروری است:

  • جایگزینی دستگاه: روتر DIR-823x را با مدل‌های جدیدتر و پشتیبانی‌شده D-Link یا برندهای دیگر جایگزین کنید.
  • محدودسازی دسترسی شبکه: دسترسی از راه دور به رابط مدیریت وب (پورت‌های HTTP/HTTPS) را غیرفعال کرده، از VPN برای مدیریت امن استفاده کنید و پورت‌ها را فقط برای IPهای مجاز باز نگه دارید.
  • فیلتر کردن ورودی‌ها: از فایروال یا پروکسی برای مسدود کردن درخواست‌های POST به /goform/diag_ping با پیلودهای مشکوک استفاده کنید.
  • نظارت بر ترافیک: لاگ‌های روتر را برای درخواست‌های مشکوک به diag_ping بررسی کنید و از IDS/IPS برای تشخیص تزریق فرمان بهره ببرید.
  • تغییر تنظیمات پیش‌فرض: رمز عبور پیش‌فرض را تغییر دهید، در صورت عدم نیاز به ویژگی‌های غیرضروری مانند diag_ping آن را غیرفعال کنید و از پروتکل‌های امن مانند HTTPS استفاده نمایید.
  • اجرا در محیط ایزوله: روتر را در شبکه‌ای جداگانه (VLAN) قرار دهید تا تأثیرات احتمالی محدود شود.
  • آموزش و آگاهی: مدیران شبکه را در مورد ریسک Command Injection در روترهای قدیمی آموزش دهید.

اجرای این اقدامات ریسک بهره‌برداری را کاهش داده و امنیت شبکه را بهبود می‌بخشد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم با استفاده از حساب مدیریتی یا اعتبارنامه ضعیف به رابط مدیریت وب روتر دسترسی پیدا می‌کند و از نقطه‌پایانی /goform/diag_ping برای ارسال پارامتر target_addr دستکاری‌شده سوء‌استفاده می‌کند

Execution (TA0002)
تزریق فرمان از طریق target_addr باعث اجرای دستوراتی در شِل سیستم عامل می‌شود (مثلاً 127.0.0.1; ls;) که فوراً کد دلخواه را اجرا می‌کند

Persistence (TA0003)
در صورت موفقیت، مهاجم می‌تواند فایل‌های زمان‌بندی، کاربران جدید یا اسکریپت‌های راه‌انداز را برای حفظ دسترسی مستمر قرار دهد

Privilege Escalation (TA0004)
اجرای دستور می‌تواند منجر به خواندن فایل‌های پیکربندی حاوی اعتبارنامه یا اجرای عملیات با امتیازات بالاتر شود و مهاجم سطح دسترسی را ارتقاء دهد

Defense Evasion (TA0005)
مهاجم ممکن است لاگ‌ها را پاک یا تغییر دهد تا شواهد فعالیت خود را مخفی کند

Lateral Movement (TA0008)
با دسترسی به اعتبارنامه‌ها یا تنظیمات شبکه استخراج‌شده، مهاجم قادر خواهد بود به دستگاه‌ها یا سرویس‌های مجاور حرکت کند

Impact (TA0040)
پیامد مستقیم تزریق فرمان شامل افت محرمانگی (خواندن اطلاعات)، یکپارچگی (تغییر/حذف فایل‌ها) و در دسترس‌پذیری (دستورات مخرب یا کرش دستگاه) است

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-10401
  2. https://www.cvedetails.com/cve/CVE-2025-10401/
  3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10401
  4. https://vuldb.com/?submit.646761
  5. https://vuldb.com/?id.323836
  6. https://vuldb.com/?ctiid.323836
  7. https://github.com/Cpppq43/D-Link/blob/main/D-Link%20DIR-823X%20AX3000.md
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-10401
  9. https://cwe.mitre.org/data/definitions/77.html
  10. https://cwe.mitre.org/data/definitions/74.html

همچنین ممکن است دوست داشته باشید

CVE-2025-10832

CVE-2025-10725

CVE-2025-48799

CVE-2025-59489

CVE-2025-10624

CVE-2025-10664

CVE-2025-29927

CVE-2025-10629

CVE-2025-10530

CVE-2025-10527

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×