4
- شناسه CVE-2025-4349 :CVE
- CWE-77/CWE-74 :CWE
- yes :Advisory
- منتشر شده: می 6, 2025
- به روز شده: می 6, 2025
- امتیاز: 8.8
- نوع حمله: Command Injection
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: D-link
- محصول: DIR-600L
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در روتر D-Link DIR-600L شناسایی شده است. این آسیبپذیری تابع formSysCmd را تحت تاثیر قرار میدهد. ایجاد تغییرات در پارامتر host میتواند منجر به تزریق فرمان (Command Injection) شود. این آسیبپذیری تنها محصولات منسوخشده و بدون پشتیبانی رسمی را شامل میشود. شناسه این آسیبپذیری CVE-2025-4349 است. حمله میتواند از راه دور انجام شود.
توضیحات
بر اساس طبقهبندی CWE-77، این مشکل زمانی به وجود میآید که برنامه، ورودی کاربر را بدون پاکسازی مناسب در یک فرمان سیستمعاملی قرار میدهد. این آسیب پذیری میتواند بر محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترسپذیری (Availability) تأثیر بگذارد.
CVSS
| Score | Severity | Version | Vector String |
| 8.7 | HIGH | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
| 8.8 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 8.8 | HIGH | 3.0 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 9.0 | — | 2.0 | AV:N/AC:L/Au:S/C:C/I:C/A:C |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 2.07B01 | DIR-600L |
نتیجه گیری
هیچ راهکار مقابلهای رسمی اعلام نشده است. پیشنهاد میشود از محصولی جایگزین استفاده شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-4349
- https://www.cvedetails.com/cve/CVE-2025-4349/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-4349
- https://vuldb.com/?id.307467
- https://nvd.nist.gov/vuln/detail/CVE-2025-4349
- https://cwe.mitre.org/data/definitions/77.html
- https://cwe.mitre.org/data/definitions/74.html
