- شناسه CVE-2025-4268 :CVE
- CWE-306/CWE-287 :CWE
- yes :Advisory
- منتشر شده: می 5, 2025
- به روز شده: می 5, 2025
- امتیاز: 5.3
- نوع حمله: Authentication Bypass
- اثر گذاری: Missing Authentication
- حوزه: تجهیزات شبکه و امنیت
- برند: TOTOLINK
- محصول: A720R
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در روتر TOTOLINK A720R با نسخه 4.1.5cu.374 شناسایی شده است. این آسیبپذیری مربوط به بخشی ناشناخته از فایل /cgi-bin/cstecgi.cgi است.
توضیحات
در این آسیبپذیری، اگر آرگومان topicurl با مقدار RebootSystem دستکاری شود، امکان اکسپلویت بدون نیاز به احراز هویت به وجود میآید. این نقص مطابق با تعریف دسته بندی CWE-306 است، که به معنای «عدم اجرای احراز هویت در عملکردهایی است که نیاز به هویت معتبر کاربر دارند یا منابع زیادی مصرف میکنند».
این ضعف میتواند باعث اختلال در دسترسپذیری (Availability) سیستم شود.
این آسیبپذیری با عنوان CVE-2025-4268 نامگذاری شده است. اکسپلویت آن ساده به نظر میرسد. حمله میتواند از راه دور انجام شود. هیچگونه احراز هویتی برای اکسپلویت موفق مورد نیاز نیست.
CVSS
| Score | Severity | Version | Vector String |
| 6.9 | MEDIUM | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N |
| 5.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| 5.3 | MEDIUM | 3.0 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| 5.0 | — | 2.0 | AV:N/AC:L/Au:N/C:N/I:N/A:P |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 4.1.5cu.374 | A720R |
نتیجه گیری
اطلاعاتی درباره اقدامات مقابلهای احتمالی در دست نیست. ممکن است پیشنهاد شود که از یک محصول جایگزین استفاده شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-4268
- https://www.cvedetails.com/cve/CVE-2025-4268/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-4268
- https://vuldb.com/?id.307372
- https://nvd.nist.gov/vuln/detail/CVE-2025-4268
- https://cwe.mitre.org/data/definitions/306.html
- https://cwe.mitre.org/data/definitions/287.html
- https://github.com/at0de/my_vulns/blob/main/TOTOLINK/A720R/RebootSystem.md
