- شناسه CVE-2025-14136 :CVE
- CWE-121, CWE-119 :CWE
- yes :Advisory
- منتشر شده: دسامبر 6, 2025
- به روز شده: دسامبر 6, 2025
- امتیاز: 8.8
- نوع حمله: Stack-based Buffer Overflow
- اثر گذاری: Denial of Service (Dos)
- حوزه: تجهیزات شبکه و امنیت
- برند: Linksys
- محصول: Linksys RE router
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) در چندین مدل روتر Linksys از جمله RE6500، RE6250، RE6300، RE6350، RE7000 و RE9000 شناسایی شده است. این ضعف در فایل mod_form.so و تابع RE2000v2Repeater_get_wired_clientlist_setClientsName قرار دارد. مهاجم احراز هویتشده میتواند با ارسال مقدار بیش از حد طولانی برای پارامتر clientsname_0 در درخواست HTTP POST، باعث سرریز بافر شده، کنترل جریان اجرای برنامه را به دست آورد و منجر به انکار سرویس و اجرای کد دلخواه شود.
توضیحات
آسیبپذیری CVE-2025-14136 در روترهای Linksys از نوع سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) مطابق با CWE-121 و خرابی حافظه(Memory Corruption) مطابق با CWE-119 است. این ضعف در کتابخانهی mod_form.so و تابع RE2000v2Repeater_get_wired_clientlist_setClientsName رخ می دهد. پارامتر clientsname_0 که از طریق درخواست HTTP POST به مسیر /goform/RE2000v2Repeater_get_wired_clientlist_setClientsName ارسال میشود، بدون هیچگونه بررسی طول یا اعتبارسنجی مستقیماً در یک بافر لوکال روی پشته کپی میگردد. این موضوع ظاهراً با استفاده از توابع ناامن و فاقد محدودیت طول انجام میشود؛ در نتیجه اگر مقدار ورودی بزرگتر از ظرفیت بافر باشد، دادههای اضافی روی پشته نوشته شده و امکان بازنویسی آدرس بازگشت تابع فراهم میشود.
این وضعیت بهطور قطعی منجر به انکار سرویس (DoS) و کرش دستگاه میشود و از نظر تئوری قابلیت کنترل جریان اجرا و دستیابی به اجرای کد دلخواه (RCE) را نیز دارد؛ زیرا ساختار آسیبپذیری اجازه بازنویسی آدرس بازگشت (return address) را میدهد. در بهرهبرداری آزمایششده و کد اثبات مفهومی (PoC) منتشرشده در GitHub، ارسال حدود 6000 بایت برای clientsname_0 موجب کرش فوری و پایدار روتر میشود. اگرچه PoC فعلی صرفاً DoS را نشان میدهد، اما نوع آسیبپذیری امکان توسعه اکسپلویتهای پیشرفتهتر شامل ROP chain یا شلکد را فراهم میکند.
این ضعف تنها نیازمند یک حساب کاربری احراز هویتشده با سطح دسترسی پایین است و مهاجم میتواند با ابزارهای سادهای مانند curl یا Burp Suite دادههای بسیار طولانی ارسال کند. پیامدهای امنیتی بالقوه شامل نقض کامل محرمانگی، یکپارچگی و در دسترسپذیری است، زیرا مهاجم پس از دستیابی به اجرای کد میتواند کنترل کامل دستگاه را به دست آورد، تنظیمات را تغییر دهد یا روتر را به بخشی از یک باتنت تبدیل کند. تاکنون شرکت Linksys پچ امنیتی برای رفع این مشکل منتشر نکرده است و مدلهای آسیبپذیر همچنان در معرض سوءاستفاده قرار دارند.
CVSS
| Score | Severity | Version | Vector String |
| 8.7 | HIGH | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P |
| 8.8 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R |
| 8.8 | HIGH | 3.0 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R |
| 9.0 | — | 2.0 | AV:N/AC:L/Au:S/C:C/I:C/A:C/E:POC/RL:ND/RC:UR |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE6500 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE6250 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE6300 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE6350 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE7000 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE9000 |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Linksys router را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 1,510 | site:.ir “Linksys router” | Linksys router |
نتیجه گیری
این آسیبپذیری با شدت بالا در روترهای Linksys از نوع سرریز بافر مبتنی بر پشته است که میتواند منجر به انکار سرویس شود و از نظر تئوری امکان اجرای کد دلخواه را نیز فراهم کند. با توجه به عدم انتشار پچ رسمی و وجود PoC عمومی، اجرای فوری اقدامات زیر برای کاهش ریسک ضروری است:
- بررسی و جایگزینی فریمور: وبسایت Linksys را بهصورت منظم برای دریافت بهروزرسانی امنیتی بررسی کنید. در صورت عدم انتشار پچ، استفاده از مدلهای جایگزین با پشتیبانی امنیتی فعال توصیه میشود.
- غیرفعالسازی فوری دسترسی از راه دور (Remote Management): هرگونه دسترسی به پنل مدیریتی از از طریق اینترنت (WAN) را مسدود کنید و مدیریت را تنها از شبکه داخلی (LAN) مجاز نمایید.
- تغییر رمزهای عبور: تمام حسابهای کاربری را با رمزهای قوی و طولانی جایگزین کنید.
- مسدودسازی مسیر آسیبپذیر: در صورت امکان، مسیر /goform/RE2000v2Repeater_get_wired_clientlist_setClientsName را از طریق فایروال داخلی یا روتر upstream فیلتر کنید تا درخواستهای POST به این نقطه مسدود شوند.
- ایزولهسازی دستگاه: روتر را پشت فایروال سختافزاری یا روتر اصلی قرار دهید و از NAT و VLAN برای جداسازی ترافیک استفاده کنید.
- استقرار فایروال اپلیکیشن وب (WAF) یا سیستم جلوگیری از نفوذ (IPS): درخواستهای POST با طول غیرعادی پارامتر clientsname را با استفاده از فایروال اپلیکیشن وب یا سیستم جلوگیری از نفوذ مسدود کنید.
- نظارت فعال و ثبت لاگ: لاگها را به سرور Syslog خارجی ارسال کرده و هشدار برای درخواستهای طولانی یا کرشهای مکرر تنظیم کنید.
اجرای این اقدامات بهویژه مسدودسازی دسترسی WAN و محدودکردن مسیر آسیب پذیر میتواند ریسک بهرهبرداری موفق از این آسیبپذیری را بهشدت کاهش دهد و تا زمان انتشار پچ رسمی، بالاترین سطح امنیت ممکن را برای شبکه فراهم کند.
امکان استفاده در تاکتیک های Mitre Attack
Execution (TA0002)
مهاجم با ارسال درخواست POST حاوی ورودی بیشازحد طولانی برای پارامتر clientsname_0، اجرای تابع آسیبپذیر را در ماژول mod_form.so تحریک میکند. این ورودی باعث اجرای کد در بافر پشته و فراهمشدن مسیر RCE یا Crash میشود.
Privilege Escalation (TA0004)
با توجه به اینکه تابع آسیبپذیر در مسیرهای مدیریتی اجرا میشود، مهاجم پس از ورود میتواند با تزریق داده غیرعادی، کنترل جریان اجرای کد را به سطح بالاتر در پروسه سیستم منتقل کند. این ارتقای دسترسی ناشی از سرریز بافر است و منجر به گرفتن کنترل کامل پروسه میشود.
Defense Evasion (TA0005)
درخواست POST مهاجم از نظر ساختار HTTP کاملاً معتبر است و فقط طول غیرعادی پارامتر دارد؛ بنابراین بسیاری از WAFهای سبک و فایروالهای خانگی این الگو را تشخیص نمیدهند.
Discovery (TA0007)
مهاجم قبل از حمله معمولاً نسخه فریمور، فعالبودن Remote Management و وجود endpoint آسیبپذیر /goform/…setClientsName را بررسی میکند. این کار از طریق fingerprinting ساده پنل مدیریتی یا بررسی پاسخهای HTTP انجام میشود.
Lateral Movement (TA0008)
در صورت دستیابی به کنترل روتر، مهاجم میتواند به سمت دستگاههای LAN حرکت کند، ARP poisoning انجام دهد یا از روتر برای Pivoting در شبکه استفاده کند.
Collection (TA0009)
روترهای Linksys دادههای کلاینتها، جدول DHCP و وضعیت شبکه را روی ماژولهای مدیریتی نگه میدارند. مهاجم پس از اجرای کد دلخواه میتواند این دادهها را جمعآوری کرده و برای حملات بعدی استفاده کند.
Exfiltration (TA0010)
دستگاه تصاحبشده میتواند اطلاعات شبکه، لاگها یا credentialهای ذخیرهشده را از طریق درخواستهای خروجی HTTP/HTTPS به سرور مهاجم ارسال کند.
Impact (TA0040)
پیامد اصلی، اجرای کد دلخواه (RCE) و انکار سرویس (DoS) است. مهاجم میتواند دستگاه را خاموش کند، پیکربندی را دستکاری کند، بدافزار شبکهای تزریق کند یا کنترل کامل شبکه محلی را بگیرد. این آسیبپذیری به دلیل ماهیت stack-based overflow، از نوع تخریبی و High Impact است.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-14136
- https://www.cvedetails.com/cve/CVE-2025-14136/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-14136
- https://vuldb.com/?submit.697983
- https://vuldb.com/?id.334525
- https://vuldb.com/?ctiid.334525
- https://github.com/wudipjq/my_vuln/blob/main/Linksys2/vuln_65/65.md
- https://github.com/wudipjq/my_vuln/blob/main/Linksys2/vuln_65/65.md#poc
- https://nvd.nist.gov/vuln/detail/CVE-2025-14136
- https://cwe.mitre.org/data/definitions/121.html
- https://cwe.mitre.org/data/definitions/119.html
