CVE-2025-10964

چکیده

آسیب‌پذیری در روتر Wavlink NU516U1 با نسخه فریم‌ور M16U1_V240425، ناشی از ضعف در تابع sub_401B30 فایل /cgi-bin/firewall.cgi است. مهاجم با دستکاری پارامتر remoteManagementEnabled امکان تزریق فرمان (Command Injection) را فراهم کرده و می تواند دستورات دلخواه را از راه دور اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-10964 در روتر Wavlink NU516U1 ناشی از ضعف در تابع sub_401B30 فایل /cgi-bin/firewall.cgi است که مطابق با  CWE-77 و CWE-74 طبقه‌بندی می‌شود. این ضعف در نسخه فریم‌ور M16U1_V240425 وجود دارد و دستکاری پارامتر remoteManagementEnabled باعث تزریق فرمان می‌شود.

در تابع ftext، مقدار پارامتر firewall از ورودی کاربر دریافت می‌شود. اگر مقدار firewall برابر با websSysFirewall باشد، تابع sub_401B30 فراخوانی شده و پارامتر remoteManagementEnabled از درخواست POST (پروتکل HTTP برای ارسال داده از کلاینت به سرور) استخراج می‌شود. این مقدار با استفاده از تابع sprintf به متغیر v12 متصل شده و بدون اعتبارسنجی مناسب مستقیماً به تابع system() ارسال می‌شود. مهاجم می‌تواند با تزریق کاراکترهای خاص، مانند دستورات شل، کدهای مخرب را اجرا کند. این آسیب‌پذیری از طریق شبکه با  نیاز به احراز هویت قابل بهره‌برداری است اما نیازی به تعامل کاربر ندارد.

پیامدهای این آسیب‌پذیری شامل نقض محدود محرمانگی با دسترسی به داده های حساس، یکپارچگی با امکان تغییر تنظیمات و در دسترس‌پذیری با ایجاد اختلال در دستگاه است.

کد اثبات مفهومی (PoC) عمومی منتشر شده، یک درخواست POST به /cgi-bin/firewall.cgi با بدنه
firewall=websSysFirewall&blockSynFloodEnabled=1&pingFrmWANFilterEnabled=1&block
PortScanEnabled=1&remoteManagementEnabled=$(ls>/7.txt) ارسال می‌کند. در سیستم های آسیب پذیر این دستور ls اجرا شده و خروجی در فایل 7.txt ذخیره می شود. تاکنون پچ رسمی منتشر نشده و شرکت Wavlink به گزارش اولیه پاسخ نداده است.

CVSS

 لیست محصولات آسیب پذیر

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Wavlink NU516U1 را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

این آسیب‌پذیری در روتر Wavlink NU516U1 به دلیل تزریق فرمان در فایل /cgi-bin/firewall.cgi، می‌تواند منجر به دسترسی غیرمجاز به فایل‌های حساس، تغییر تنظیمات فایروال یا اختلال در عملکرد روتر شود. با توجه به عدم انتشار پچ رسمی، اجرای اقدامات زیر برای کاهش ریسک ضروری است:

• بررسی به‌روزرسانی‌ها: وب‌سایت رسمی Wavlink را برای دریافت فریم ور جدید بررسی کرده و به محض انتشار بلافاصله آن را نصب کنید.
• فیلتر کردن ورودی‌ها: از فایروال یا پروکسی برای مسدود کردن درخواست‌های POST به /cgi-bin/firewall.cgi استفاده کنید و پارامتر remoteManagementEnabled را اعتبارسنجی یا فیلتر نمایید.
• محدودسازی دسترسی شبکه: دسترسی از راه دور به پنل مدیریت را غیرفعال کرده، از VPN برای مدیریت امن استفاده کنید و پورت‌های HTTP/HTTPS را فقط برای IPهای مجاز باز نمایید.
• نظارت بر ترافیک: لاگ‌های روتر را برای درخواست‌های مشکوک حاوی remoteManagementEnabled مخرب بررسی کنید و از IDS/IPS برای تشخیص تزریق فرمان استفاده نمایید.
• تغییر تنظیمات پیش‌فرض: رمز عبور پیش‌فرض را تغییر دهید، در صورت عدم نیاز به ویژگی websSysFirewall آن را غیرفعال کنید و از پروتکل‌های امن مانند HTTPS استفاده نمایید.
• جایگزینی دستگاه: در صورت عدم انتشار پچ، روتر را با مدل‌های امن‌تر جایگزین کنید.
• آموزش و آگاهی: مدیران شبکه را در مورد ریسک‌های Command Injection در روترهای Wavlink آموزش دهید.

اجرای این اقدامات ریسک بهره‌برداری از این آسیب‌پذیری را به حداقل رسانده و امنیت شبکه را تا زمان انتشار پچ رسمی به طور قابل توجهی افزایش می دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
نفوذ اولیه از طریق صفحه مدیریت وب دستگاه است؛ مهاجم با حساب مدیریتی یا دسترسی محلی می‌تواند پارامتر remoteManagementEnabled  را دستکاری کند و نقطه ورود ایجاد نماید.

Execution (TA0002)
مقدار کنترل‌شده وارد system()  می‌شود و باعث اجرای دستور روی دستگاه می‌گردد — یعنی مهاجم می‌تواند کد یا فرمان دلخواه را روی روتر اجرا کند.

Persistence (TA0003)
با اجرای فرمان روی دستگاه، مهاجم توانایی ایجاد backdoor (فایل، کرون‌جاب، سرویس) یا اضافه‌کردن حساب‌های مدیریتی برای حفظ دسترسی بلندمدت را دارد.

Privilege Escalation (TA0004)
فرمان‌ها معمولاً با امتیازات سیستم اجرا می‌شوند؛ بنابراین بهره‌برداری می‌تواند سریعاً دسترسی را به سطح root سیستمی ارتقا دهد.

Defense Evasion (TA0005)
مهاجم می‌تواند لاگ‌ها را پاک یا تغییر دهد، خروجی‌ها را به مسیرهای نامحسوس هدایت کند یا تغییرات را طوری انجام دهد که تشخیص و تحلیل پس از حادثه را دشوار سازد.

Credential Access (TA0006)
اجرای فرمان می‌تواند منجر به خواندن فایل‌های پیکربندی و استخراج رمزها/توکن‌ها شود که برای تثبیت نفوذ یا حرکت جانبی حیاتی است.

Discovery (TA0007)
دسترسی به پوسته سیستم امکان فهرست‌برداری از شبکه محلی، سرویس‌ها، پورت‌ها و دستگاه‌های متصل را می‌دهد تا اهداف بعدی شناسایی شوند.

Lateral Movement (TA0008)
با اعتبارنامه‌ها یا اطلاعات به‌دست‌آمده مهاجم می‌تواند به سرورهای داخلی، NAS  یا سایر تجهیزات شبکه منتقل شود و دامنه نفوذ را گسترش دهد.

Collection (TA0009)
مهاجم می‌تواند پیکربندی‌ها، لاگ‌ها، و داده‌های حساس شبکه را جمع‌آوری و متمرکز نماید تا برای اهداف بعدی استفاده کند.

Exfiltration (TA0010)
داده‌ها یا خروجی‌های فرمان معمولاً از طریق اتصالات خروجی دستگاه به سرورهای خارجی فرستاده می‌شوند

Impact (TA0040)
دستکاری یا حذف پیکربندی فایروال، اختلال یا قطع سرویس شبکه، افشای اطلاعات حساس و استفاده از دستگاه به‌عنوان سکوی حمله علیه شبکه داخلی یا سرویس‌های بیرونی ممکن است

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-10964
2. https://www.cvedetails.com/cve/CVE-2025-10964/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10964
4. https://vuldb.com/?submit.652785
5. https://vuldb.com/?id.325832
6. https://vuldb.com/?ctiid.325832
7. https://github.com/panda666-888/vuls/blob/main/wavlink/nu516u1/websSysFirewall.md
8. https://github.com/panda666-888/vuls/blob/main/wavlink/nu516u1/websSysFirewall.md#poc
9. https://nvd.nist.gov/vuln/detail/CVE-2025-10964
10. https://cwe.mitre.org/data/definitions/77.html
11. https://cwe.mitre.org/data/definitions/74.html