- شناسه CVE-2025-44866 :CVE
- CWE-77 :CWE
- no :Advisory
- منتشر شده: می 1, 2025
- به روز شده: می 1, 2025
- امتیاز: 6.3
- نوع حمله: Command Injection
- اثر گذاری: Command Execution
- حوزه: تجهیزات شبکه و امنیت
- برند: Tenda
- محصول: W20E
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در روتر Tenda W20E نسخه 15.11.0.6 شناسایی شده است. این آسیبپذیری در تابعی به نام formSetDebugCfg وجود دارد. دستکاری پارامتر level در این تابع میتواند منجر به تزریق فرمان (Command Injection) شود. این آسیبپذیری با شناسه CVE-2025-44866 ثبت شده و قابل اکسپلویت از راه دور است.
توضیحات
بر اساس طبقهبندی CWE، این آسیبپذیری با شناسه CWE-77 دسته بندی شده است که مربوط به ساختن دستورات سیستمی با ورودیهای کنترلنشده از منابع خارجی است. در این حالت، ورودی بهدرستی فیلتر نشده و ممکن است منجر به اجرای دستورات خطرناک شود.
این نقص امنیتی میتواند بر محرمانگی (Confidentiality)، یکپارچگی (Integrity)، و دسترسپذیری (Availability) سیستم تأثیر بگذارد.
هیچ راهکار رسمی برای مقابله با این آسیبپذیری اعلام نشده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| 15.11.0.6 | Tenda W20E |
نتیجه گیری
هیچ راهکار رسمی برای مقابله با این آسیبپذیری اعلام نشده است.
توصیه میشود از یک محصول جایگزین استفاده شود یا تا انتشار پچ امنیتی، این دستگاه از شبکههای حساس جدا گردد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-44866
- https://www.cvedetails.com/cve/CVE-2025-44866/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-44866
- https://vuldb.com/?id.307115
- https://nvd.nist.gov/vuln/detail/CVE-2025-44866
- https://cwe.mitre.org/data/definitions/77.html
- https://github.com/Summermu/VulnForIoT/blob/main/Tenda_W20E/formSetDebugCfg_level/readme.md
