6
- شناسه CVE-2025-3990 :CVE
- CWE-120/CWE-119 :CWE
- no :Advisory
- منتشر شده: آوریل 27, 2025
- به روز شده: آوریل 27, 2025
- امتیاز: 8.8
- نوع حمله: Buffer Overflow
- اثر گذاری: Memory Corruption
- حوزه: تجهیزات شبکه و امنیت
- برند: TOTOLINK
- محصول: N150RT
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در نسخه 3.4.0-B20190525 نرمافزار دستگاه TOTOLINK N150RT وجود دارد. این مشکل مربوط به فایل /boafrm/formVlan است و شامل آسیبپذیری سرریز بافر از طریق دستکاری پارامتر submit-url میباشد. یک مهاجم میتواند این آسیبپذیری را از راه دور مورد سوءاستفاده قرار داده و آن را اکسپلویت کند.
توضیحات
این مشکل با استفاده از استاندارد CWE در دسته CWE-120 شناخته شده است. محصول، بافر ورودی را در بافر خروجی کپی میکند بدون آنکه بررسی کند که اندازه بافر ورودی از اندازه بافر خروجی کمتر است، که منجر به سرریز بافر میشود. این آسیبپذیری بر محرمانگی، یکپارچگی و دسترسی تأثیر میگذارد.
CVSS
| Score | Severity | Version | Vector String |
| 8.7 | HIGH | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
| 8.8 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 8.8 | HIGH | 3.0 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 9.0 | — | 2.0 | AV:N/AC:L/Au:S/C:C/I:C/A:C |
لیست محصولات آسیب پذیر
| Versions | Product |
| N150RT | TOTOLINK |
نتیجه گیری
هیچ اطلاعاتی در مورد تدابیر مقابلهای شناخته شده وجود ندارد. پیشنهاد میشود محصول آسیبدیده با یک محصول جایگزین تعویض شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-3990
- https://www.cvedetails.com/cve/CVE-2025-3990/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-3990
- https://vuldb.com/?id.306326
- https://nvd.nist.gov/vuln/detail/CVE-2025-3990
- https://cwe.mitre.org/data/definitions/120.html
- https://cwe.mitre.org/data/definitions/119.html
- https://github.com/fizz-is-on-the-way/Iot_vuls/tree/main/N150RT/BufferOverflow_formVlan
