- شناسه CVE-2025-14133 :CVE
- CWE-121, CWE-119 :CWE
- yes :Advisory
- منتشر شده: دسامبر 6, 2025
- به روز شده: دسامبر 6, 2025
- امتیاز: 8.8
- نوع حمله: Stack-based Buffer Overflow
- اثر گذاری: Denial of Service (Dos)
- حوزه: تجهیزات شبکه و امنیت
- برند: Linksys
- محصول: Linksys RE router
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) در چندین مدل روتر Linksys از جمله RE6500، RE6250، RE6300، RE6350، RE7000 و RE9000 شناسایی شده است. این ضعف در فایل mod_form.so و تابع AP_get_wireless_clientlist_setClientsName قرار دارد. مهاجم احراز هویتشده با ارسال مقدار بیش از حد طولانی برای پارامتر clientsname_0 در درخواست HTTP POST به مسیر /goform/AP_get_wireless_clientlist_setClientsName، میتواند باعث سرریز پشته شود، کنترل جریان برنامه را به دست آورد و منجر به انکار سرویس و در نهایت اجرای کد دلخواه شود.
توضیحات
آسیبپذیری CVE-2025-14133 در روترهای Linksys از نوع سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) مطابق با CWE-121 و خرابی حافظه(Memory Corruption) مطابق با CWE-119 است. این ضعف در کتابخانهی mod_form.so و تابع AP_get_wireless_clientlist_setClientsName رخ می دهد.
پارامتر clientsname_0 که از طریق درخواست HTTP POST به مسیر /goform/AP_get_wireless_clientlist_setClientsName ارسال میشود، بدون هیچگونه بررسی طول یا اعتبارسنجی مناسب، مستقیماً با توابعی مانند strcpy در یک بافر لوکال روی پشته کپی میگردد. وقتی طول این ورودی از ظرفیت بافر بیشتر باشد، دادههای اضافی روی پشته نوشته شده و آدرس بازگشت تابع (return address) بازنویسی میشود. این امر امکان کنترل جریان اجرا و در نهایت اجرای کد دلخواه از راه دور را فراهم میکند.
این ضعف بهسادگی قابل خودکارسازی است؛ مهاجم میتواند با یک حساب کاربری با دسترسی پایین، با ابزارهای ساده مانند curl یا Burp Suite، یک درخواست POST حاوی حدود 6060 بایت داده در پارامتر clientsname_0 ارسال کند که باعث کرش فوری و پایدار روتر میشود. کد اثبات مفهومی (PoC) منتشرشده در GitHub نشان میدهد که با افزایش طول پیلود، امکان بازنویسی کامل آدرس بازگشت و اجرای شلکد وجود دارد.
پیامدهای امنیتی بالقوه شامل نقض محرمانگی، یکپارچگی و در دسترسپذیری است، زیرا مهاجم میتواند کنترل دستگاه را به دست آورد، تنظیمات را تغییر دهد یا روتر را به بخشی از یک باتنت تبدیل کند. تاکنون شرکت Linksys پچ امنیتی برای رفع این مشکل منتشر نکرده است و مدلهای آسیبپذیر همچنان در معرض سوءاستفاده قرار دارند.
CVSS
| Score | Severity | Version | Vector String |
| 8.7 | HIGH | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P |
| 8.8 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R |
| 8.8 | HIGH | 3.0 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R |
| 9.0 | — | 2.0 | AV:N/AC:L/Au:S/C:C/I:C/A:C/E:POC/RL:ND/RC:UR |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE6500 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE6250 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE6300 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE6350 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE7000 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE9000 |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Linksys router را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 1,510 | site:.ir “Linksys router” | Linksys router |
نتیجه گیری
این آسیبپذیری با شدت بالا در روترهای Linksys از نوع سرریز بافر مبتنی بر پشته است که میتواند منجر به انکار سرویس و اجرای کد دلخواه از راه دور شود. با توجه به عدم انتشار پچ رسمی و وجود PoC عمومی، اجرای فوری اقدامات زیر برای کاهش ریسک ضروری است:
- بررسی و جایگزینی فریمور: وبسایت Linksys را بهصورت منظم برای دریافت بهروزرسانی امنیتی بررسی کنید. در صورت عدم انتشار پچ، استفاده از مدلهای جایگزین با پشتیبانی امنیتی فعال توصیه میشود.
- غیرفعالسازی فوری دسترسی از راه دور (Remote Management): هرگونه دسترسی به پنل مدیریتی از از طریق اینترنت (WAN) را مسدود کنید و مدیریت را تنها از شبکه داخلی (LAN) مجاز نمایید.
- تغییر رمزهای عبور: تمام حسابهای کاربری را با رمزهای قوی و طولانی جایگزین کنید.
- مسدودسازی مسیر آسیبپذیر: در صورت امکان، مسیر /goform/AP_get_wireless_clientlist_setClientsNameرا از طریق فایروال داخلی یا روتر upstream فیلتر کنید تا درخواستهای POST به این نقطه مسدود شوند.
- ایزولهسازی دستگاه: روتر را پشت فایروال سختافزاری یا روتر اصلی قرار دهید و از NAT و VLAN برای جداسازی ترافیک استفاده کنید.
- استقرار فایروال اپلیکیشن وب (WAF) یا سیستم جلوگیری از نفوذ (IPS): درخواستهای POST با طول غیرعادی پارامتر clientsname_0را با استفاده از فایروال اپلیکیشن وب یا سیستم جلوگیری از نفوذ مسدود کنید.
- نظارت فعال و ثبت لاگ: لاگها را به سرور Syslog خارجی ارسال کرده و هشدار برای درخواستهای طولانی یا کرشهای مکرر تنظیم کنید.
اجرای این اقدامات بهویژه مسدودسازی دسترسی WAN و محدودکردن مسیر آسیب پذیر میتواند ریسک بهرهبرداری موفق از این آسیبپذیری را بهشدت کاهش دهد و تا زمان انتشار پچ رسمی، بالاترین سطح امنیت ممکن را برای شبکه فراهم کند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
ورود اولیه فقط از مسیر احراز هویت انجام میشود؛ مهاجم باید از یک حساب معتبر یا دسترسی مدیریتی فعال روی Remote Management وارد پنل شود. فعالبودن مدیریت از طریق WAN یا پسوردهای ضعیف نقطه ورود را باز میکند.
Execution (TA0002)
اجرای کد با ارسال یک POST شامل مقدار بسیار طولانی در پارامتر clientsname_0 به مسیر /goform/AP_get_wireless_clientlist_setClientsName انجام میشود. این پیام باعث سرریز پشته در mod_form.so شده و اجرای شلکد را امکانپذیر میکند.
Privilege Escalation (TA0004)
سرریز بافر پشته مستقیماً آدرس بازگشت را بازنویسی میکند و کد مهاجم را در سطح پروسه مدیریتی اجرا میکند، بنابراین مهاجم به سطح دسترسی بالاتر از آنچه لاگین کرده بوده میرسد.
Defense Evasion (TA0005)
درخواست POST از نظر ساختاری قانونی است و فقط طول پارامتر غیرعادی دارد، بنابراین بهراحتی از فایروالهای ساده و لاگینگ سطح پایین عبور میکند. استفاده از HTTPS باعث پنهانشدن کامل پیلود از تجهیزات میانی میشود مگر اینکه IDS/IPS داخلی حضور داشته باشد.
Lateral Movement (TA0008)
پس از گرفتن کنترل روتر، مهاجم از موقعیت جدید خود برای Pivoting داخل شبکه، حملات ARP، اسنیفکردن ترافیک یا جابهجایی به دستگاههای LAN استفاده میکند.
Collection (TA0009)
روتر با دسترسی کامل، شامل جدول DHCP، کلاینتها، کوکیها، وضعیت وایرلس و مسیرهای داخلی است. مهاجم پس از اجرای کد میتواند این دادهها را جمعآوری و برای حملات آینده ذخیره کند.
Exfiltration (TA0010)
اطلاعات شبکه یا دادههای جمعآوریشده از طریق درخواست HTTP/HTTPS خروجی به سمت سرور مهاجم منتقل میشود.
Impact (TA0040)
پیامد اصلی شامل DoS پایدار و اجرای کد دلخواه از راه دور (RCE) در شرایط خاص است. مهاجم میتواند دستگاه را از دسترس خارج کند، تنظیمات را دستکاری کند، فریمور مخرب تزریق کند یا روتر را به یک نقطه Pivot در حملات شبکهای تبدیل کند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-14133
- https://www.cvedetails.com/cve/CVE-2025-14133/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-14133
- https://vuldb.com/?submit.697980
- https://vuldb.com/?id.334522
- https://vuldb.com/?ctiid.334522
- https://github.com/wudipjq/my_vuln/blob/main/Linksys2/vuln_62/62.md
- https://github.com/wudipjq/my_vuln/blob/main/Linksys2/vuln_62/62.md#poc
- https://nvd.nist.gov/vuln/detail/CVE-2025-14133
- https://cwe.mitre.org/data/definitions/121.html
- https://cwe.mitre.org/data/definitions/119.html
