- شناسه CVE-2025-10628 :CVE
- CWE-77, CWE-74 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 18, 2025
- به روز شده: سپتامبر 18, 2025
- امتیاز: 6.3
- نوع حمله: Command Injection
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: D-link
- محصول: DIR-852
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری در روتر D-Link DIR-852 با نسخه فریمور 1.00CN B09 ، ناشی از عدم پاکسازی مناسب ورودیها در فایل /htdocs/cgibin/hedwig.cgi از کامپوننت Web Management Interface است که امکان تزریق فرمان (Command Injection) را فراهم میکند. این ضعف امنیتی به مهاجمان احراز هویتشده اجازه میدهد دستورات دلخواه را از راه دور اجرا کنند.
توضیحات
آسیبپذیری CVE-2025-10628 در روتر D-Link DIR-852 ، ناشی از عدم پاکسازی مناسب ورودیها در فایل /htdocs/cgibin/hedwig.cgi از کامپوننت Web Management Interface است که مطابق با CWE-77 و CWE-74 طبقهبندی میشود.
این آسیب پذیری وقتی رخ میدهد که مقادیر تنظیمشده مانند سرور NTP (Network Time Protocol، پروتکل همگامسازی زمان تحت شبکه) از صفحهی tools_time.php ارسال و پس از عبور از چند اسکریپت پردازشی ذخیره میشوند؛ در مسیر پردازش زیر ورودیها تنها از نظر خالی بودن بررسی شده و کاراکترهای خاص فیلتر نمی شوند. سپس هنگام همگامسازی، اسکریپت /etc/service/DEVICE.TIME.php مقدار ذخیرهشدهی <server> را بدون اعتبارسنجی مستقیم در فراخوانی system() (اجرای دستور در شل) قرار میدهد، بنابراین با وارد کردن پیلود شامل کاراکترهای لوله مانند |telnetd -p 9999| میتوان فرمان دلخواه را با سطح دسترسی root اجرا کرد.
hedwig.cgi → pigwidgeon.cgi → fatlady.php → /htdocs/phplib/fatlady/DEVICE.TIME.php
این آسیبپذیری از طریق شبکه با پیچیدگی پایین و نیاز به احراز هویت قابل بهرهبرداری است اما نیازمند تعامل کاربر نیست. پیامدها شامل اجرای کد دلخواه با دسترسی کامل به دستگاه، ایجاد بکدور، تغییر پیکربندی شبکه و در نتیجه تهدید برای محرمانگی، یکپارچگی و دسترسپذیری سیستم است. کداثبات مفهومی (PoC) نشان میدهد که با قرار دادن یک پیلود ساختهشده در فیلد NTP server از طریق واسط وب (tools_time.php)، مقدار ذخیرهشده هنگام فراخوانی اسکریپت همگامسازی بدون اعتبارسنجی به تابع system() منتقل میشود و فرمان تزریقشده با سطح دسترسی root اجرا میگردد؛ بهرهبرداری مستلزم حسابی است که مجوز نوشتن تنظیمات (authenticated) را داشته باشد. از آنجا که این مدل در وضعیت پایان عمر پشتیبانی (EOL) قرار دارد، D-Link برای آن پچ رسمی منتشر نخواهد کرد.
CVSS
| Score | Severity | Version | Vector String |
| 5.3 | MEDIUM | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P |
| 6.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R |
| 6.3 | MEDIUM | 3.0 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R |
| 6.5 | — | 2.0 | AV:N/AC:L/Au:S/C:P/I:P/A:P/E:POC/RL:ND/RC:UR |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 1.00CN B09 | DIR-852 |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که روترهای D-Link را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 1,190 | site:.ir “D-Link” “Routers” | D-Link Routers |
نتیجه گیری
این آسیبپذیری در روتر D-Link DIR-852 به دلیل عدم پاکسازی مناسب ورودیها در hedwig.cgi، امکان تزریق فرمان با سطح دسترسی root را ایجاد میکند. از آنجا که دستگاه در وضعیت پایان عمر پشتیبانی قرار دارد و برای آن پچ رسمی منتشر نخواهد شد، اجرای اقدامات زیر ضروری است:
- جایگزینی دستگاه: روترهای DIR-852 را با مدلهای جدیدتر و پشتیبانیشده D-Link یا برندهای دیگر جایگزین کنید.
- محدودسازی دسترسی شبکه: دسترسی از راه دور به رابط مدیریت وب پورتهای HTTP/HTTPS را غیرفعال کرده، از VPN برای مدیریت امن استفاده کنید و پورتها را فقط برای IPهای مجاز باز نگه دارید.
- مسدودسازی درخواستهای مشکوک: در سطح شبکه، فایروال یا پروکسی، درخواستهای POST به /htdocs/cgibin/hedwig.cgi را فیلتر یا بهدقت بررسی کنید تا پیلودهای مشکوک مسدود شوند.
- نظارت بر ترافیک: لاگهای روتر را برای درخواستهای مشکوک به cgi یا pigwidgeon.cgi بررسی کنید و از IDS/IPS برای تشخیص تزریق فرمان بهره ببرید.
- تغییر تنظیمات پیشفرض: رمز عبور پیشفرض را تغییر دهید، در صورت عدم نیاز به ویژگی NTP آن را غیرفعال کنید و از پروتکلهای امن مانند HTTPS استفاده نمایید.
- اجرا در محیط ایزوله: روتر را در شبکه جداگانه (VLAN) قرار دهید تا تأثیرات احتمالی محدود شود.
- آموزش و آگاهی: مدیران شبکه را در مورد ریسک Command Injection در روترهای قدیمی آموزش دهید.
اجرای این اقدامات احتمال بهرهبرداری موفق را بهطور چشمگیر کاهش میدهد و از گسترش آسیب پذیری در شبکه جلوگیری خواهد کرد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
این ضعف به مهاجمِ احراز هویتشده اجازه میدهد از طریق رابط وب مدیریتی، ورودیهای NTP را حاوی پیلود تزریقی ارسال کند و در نتیجه نقطهی ورود برای اجرای فرمان روی دستگاه فراهم شود.
Execution (TA0002)
بهرهبرداری منجر به اجرای دستورات شل با استفاده از فراخوانی system() در اسکریپتهای همگامسازی ممکن است
Privilege Escalation (TA0004)
اجرای فرمانها با دسترسی root عملاً یک «Exploitation for Privilege Escalation (T1068)» داخلی ایجاد میکند؛ مهاجم پس از اجرای پیلود میتواند امتیازات کامل سیستم را کسب کند.
Persistence (TA0003)
از آنجا که مهاجم میتواند فرمان root اجرا کند، امکان ایجاد بکدور یا سرویس دائمی مثلاً افزودن سرویس init/systemd یا اسکریپت در بوت وجود دارد
Defense Evasion (TA0005)
حذف لاگ، تغییر تنظیمات امنیتی یا نصب ماژولهای پنهانساز توسط مهاجم با اجرای کد امکانپذیر است
Discovery (TA0007)
پس از اجرا، مهاجم میتواند پیکربندی شبکه، فهرست سرویسها و اطلاعات همسایگان را جمعآوری کند.
Lateral Movement (TA0008)
با دسترسی root به روتر، مهاجم میتواند ترافیک را تغییر دهد، ترافیک عبوری را شنود کرده یا نقاطی دیگر در شبکه را هدف قرار دهد
Impact (TA0040)
پیادهسازی پیلود و دسترسی روت میتواند منجر به از کار افتادن سرویسها، تغییرات پیکربندی و تاثیر منفی بر محرمانگی، یکپارچگی و دسترسپذیری شبکه شود
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-10628
- https://www.cvedetails.com/cve/CVE-2025-10628/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10628
- https://vuldb.com/?submit.650656
- https://vuldb.com/?id.324658
- https://vuldb.com/?ctiid.324658
- https://github.com/i-Corner/cve/issues/31
- https://nvd.nist.gov/vuln/detail/CVE-2025-10628
- https://cwe.mitre.org/data/definitions/77.html
- https://cwe.mitre.org/data/definitions/74.html
