- شناسه CVE-2025-10634 :CVE
- CWE-77, CWE-74 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 18, 2025
- به روز شده: سپتامبر 18, 2025
- امتیاز: 6.3
- نوع حمله: Command Injection
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: D-link
- محصول: DIR-823X
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری در روتر D-Link DIR-823X با نسخههای فریمور 240126، 240802 و 250416، ناشی از ضعف در تابع sub_412E7C فایل /usr/sbin/goahead کامپوننت پردازشگر Environment Variable است. این آسیب پذیری به دلیل اعتبارسنجی ناکافی پارامترهای terminal_addr، server_ip و server_port امکان تزریق فرمان (Command Injection) را فراهم میکند.
توضیحات
آسیبپذیری CVE-2025-10634 در روتر D-Link DIR-823X ناشی از اعتبار سنجی ناکافی ورودی ها در تابع sub_412E7C فایل /usr/sbin/goahead از کامپوننت پردازشگر Environment Variable است که طبق CWE-77 و CWE-74 طبقهبندی میشود. این ضعف امنیتی در نسخههای فریمور 240126، 240802 و 250416 شناسایی شده است. پارامترهای terminal_addr، server_ip و server_port هنگام پردازش متغیرهای محیطی بهدرستی پاکسازی یا محدود نمیشوند و در نهایت به مسیری می رسند که system() فراخوانی میشود، بنابراین ورودیِ کنترلشده توسط کاربر میتواند منجر به تزریق فرمان و احتمالا اجرای کد از راه دور (RCE) شود.
این آسیبپذیری از طریق شبکه با پیچیدگی پایین و نیاز به احراز هویت قابل بهرهبرداری است اما نیازی به تعامل کاربر را ندارد. پیامدهای آن شامل نقض محدود محرمانگی، یکپارچگی و در دسترسپذیری است.
کد اثبات مفهومی (PoC) نشان میدهد که ارسال یک درخواست HTTP POST به اندپوینت مدیریتی و قرار دادن مقادیر ویژه در پارامترهای یادشده میتواند فرمانی را روی دستگاه اجرا کرده و خروجی را در فایلی مانند 1.txt ذخیره کند. همچنین این کد مشخص می کند که فیلترهای ساده قابل دور زدن هستند. در نسخههای قدیمیتر 240802 و 240126 هیچ گونه مکانیزم حافظتی وجود ندارد و تزریق فرمان بهطور مستقیم امکان پذیر است. در نسخه 250416، یک مکانیزم فیلتر ساده اضافه شده که تنها رشتههای خاصی را بررسی میکند. مهاجمان میتوانند با استفاده از تکنیکهایی مانند اضافه کردن کوتیشن و درج کاراکتر \n مانند “\”\n{cmd}\n این مکانیزم را دور بزنند. بنابراین ضعف هنوز بهطور کامل پچ نشده و عملاً میتوان آن را «بدون پچ مؤثر» در نظر گرفت.
CVSS
| Score | Severity | Version | Vector String |
| 5.3 | MEDIUM | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P |
| 6.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R |
| 6.3 | MEDIUM | 3.0 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R |
| 6.5 | — | 2.0 | AV:N/AC:L/Au:S/C:P/I:P/A:P/E:POC/RL:ND/RC:UR |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 240126
affected at 240802 affected at 250416 |
DIR-823X |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که روترهای D-Link را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Product |
| 1,210 | D-Link routers |
نتیجه گیری
این آسیبپذیری با شدت متوسط در روتر D-Link DIR-823X به دلیل ضعف در اعتبارسنجی ورودیها در /usr/sbin/goahead، تهدیدی جدی محسوب می شود که امکان تزریق فرمان و حتی اجرای کد از راه دور (RCE) را فراهم می کند. با توجه به عدم انتشار پچ رسمی، اجرای اقدامات زیر ضروری است:
- بهروزرسانی فریمور: وبسایت رسمی D-Link را به طور مرتب بررسی کرده و به محض انتشار فریم ور جدید آن نصب کنید. توجه داشته باشید که نسخه 250416 تا حدی ایمن است اما نباید آن را پچ کامل در نظر گرفت.
- فیلتر کردن ورودیها: از فایروال یا پروکسی برای مسدود کردن درخواستهای POST به ورودی های مدیریتی استفاده کنید و پارامترهای terminal_addr، server_ip و server_port را اعتبارسنجی یا فیلتر نمایید.
- محدودسازی دسترسی شبکه: دسترسی از راه دور به پنل مدیریت را غیرفعال کرده، از VPN برای مدیریت امن استفاده کنید و پورتهای HTTP/HTTPS را فقط برای IPهای مجاز باز نگه دارید.
- نظارت بر ترافیک: لاگهای روتر را برای درخواستهای مشکوک حاوی پارامترهای مخرب بررسی کنید و از سیستمهای شناسایی یا پیشگیری نفوذ (IDS/IPS) برای شناسایی تزریق فرمان بهره ببرید.
- تغییر تنظیمات پیشفرض: رمز عبور پیشفرض را تغییر دهید و از پروتکلهای امن مانند HTTPS برای مدیریت استفاده کنید.
- جایگزینی دستگاه: در صورت عدم انتشار پچ کامل، روتر را با مدلهای امنتر جایگزین کنید.
- آموزش و آگاهی: مدیران شبکه را در مورد ریسک Command Injection و روشهای ایمنسازی روترها آموزش دهید.
اجرای این اقدامات ریسک بهرهبرداری از این آسیبپذیری را کاهش داده و امنیت شبکه را تا زمان انتشار پچ کامل بهبود میبخشد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
ورود اولیه از طریق رابط مدیریتی دستگاه رخ میدهد؛ بهرهبرداری نیازمند احراز هویت سطح مدیریتی یا محلی است اما پیچیدگی فنی پایین دارد — ارسال یک درخواست POST حاوی مقادیر کنترلشده برای پارامترهای terminal_addr/server_ip/server_port نقطه ورود را ایجاد میکند.
Execution (TA0002)
پارامترهای ورودی بدون پاکسازی مناسب در مسیری قرار میگیرند که در نهایت به system() فراخوانی میشود؛ نتیجه اجرای مستقیم دستورات شل روی دستگاه و امکان اجرای کد دلخواه در لحظه بهرهبرداری است.
Persistence (TA0003)
پس از اجرای فرمان، مهاجم میتواند با درج اسکریپتها، ایجاد کرونجاب یا نوشتن فایلهای راهانداز در فایلسیستم، دسترسی پایدار ایجاد کند تا پس از ریبوت یا پاکسازی اولیه نیز کنترل حفظ شود.
Privilege Escalation (TA0004)
دستورات اجراشده معمولاً با امتیازات سطح سیستم اجرا میشوند؛ بنابراین بهرهبرداری میتواند فوراً منجر به دسترسی ریشهای به دستگاه و ارتقای اختیارات مهاجم شود.
Defense Evasion (TA0005)
مهاجم قادر است لاگها و تایماستمپها را پاک یا تغییر دهد، خروجی فرمانها را به مسیرهای پنهان هدایت کند یا فیلترهای ساده ورودی را دور بزند تا تشخیص و تحلیل فورنزیک را سختتر کند.
Credential Access (TA0006)
با اجرای دستورات، امکان خواندن فایلهای پیکربندی و استخراج اطلاعات حساس شامل رمزعبورها، کلیدها، SSIDها، توکنها وجود دارد که برای نفوذهای بعدی و حرکت جانبی بهکار میرود.
Discovery (TA0007)
مهاجم میتواند وضعیت شبکه محلی و دستگاههای متصل را فهرست کند
Lateral Movement (TA0008)
اطلاعات و اعتبارنامههای استخراجشده امکان pivot به میزبانهای دیگر در شبکه داخلی یا سرویسهای متصل را فراهم میکنند؛ دستگاه آلوده ممکن است به عنوان سکوی حمله برای سرویسهای داخلی عمل کند.
Collection (TA0009)
مهاجم میتواند پیکربندیها، لاگها، لیست مشتریان وایفای و دادههای حساس را جمعآوری و متمرکز کند تا برای اهداف بعدی مانند افشا یا باجخواهی آماده باشند.
Exfiltration (TA0010)
دادهها یا خروجیهای فرمان معمولاً از طریق کانالهای HTTP(S) یا اتصالات خروجی دستگاه به سرورهای خارجی منتقل میشوند؛ مهاجم ممکن است دادهها را قطعهقطعه یا رمزگذاریشده ارسال کند تا از شناسایی جلوگیری کند.
Impact (TA0040)
پیامد نهایی شامل اختلال یا قطع سرویس شبکه، تغییر یا تخریب پیکربندی، افشای اطلاعات حساس و استفاده از دستگاه بهعنوان سکوی حمله علیه شبکه داخلی یا سرویسهای بیرونی است
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-10634
- https://www.cvedetails.com/cve/CVE-2025-10960/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10634
- https://vuldb.com/?submit.650792
- https://vuldb.com/?id.324662
- https://vuldb.com/?ctiid.324662
- https://github.com/Cpppq43/D-Link/blob/main/DIink-DIR-823x.md
- https://nvd.nist.gov/vuln/detail/CVE-2025-10634
- https://cwe.mitre.org/data/definitions/77.html
- https://cwe.mitre.org/data/definitions/74.html
1 دیدگاه
چه دوراهی شگفتانگیزی! روترهای D-Link ما مثل سفرهای با شکافهای خوردنی در هتلهای ارزان قیمت هستند که مهاجمان با نقشآفرینی در پارامترها، بدون نیاز به کلید فرانچایز، وارد میشوند. نسخههای قدیمیتر مثل فیلترهای سادهای بودند که با کوتیشن و کاراکتر n به راحتی دور زده میشدند! شگفتانگیز نیست که نسخه 250416 هنوز هم بدون پچ مؤثر باشد. بیایید فقط شانسی بدهیم که یک هکر با مهارت در نوشتن اسکریپتها یا ایجاد کرونجاب وارد نشود! اما خوشبختانه، راهکارهای ایمنسازی وجود دارد: بهروزرسانی، فیلتر کردن، محدودسازی دسترسی و نظارت بر ترافیک. شاید بتوان گفت، این آسیبپذیری مانند یک پستکارت قدیمی است که هنوز فراموش شده رد شده باشد!