- شناسه CVE-2025-45042 :CVE
- CWE-78 :CWE
- no :Advisory
- منتشر شده: می 5, 2025
- به روز شده: می 5, 2025
- امتیاز: 9.8
- نوع حمله: Command Injection
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: Tenda
- محصول: AC9
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
در نسخه 15.03.05.14 از روتر Tenda AC9 یک آسیبپذیری Command Injection شناسایی شده است که از طریق عملکرد Telnet قابل بهرهبرداری میباشد. این آسیبپذیری به مهاجم این امکان را میدهد که دستورات دلخواه را در سیستم اجرا کند.
توضیحات
آسیبپذیری Command Injection در روتر Tenda AC9 میتواند توسط مهاجمانی که از طریق Telnet به سیستم متصل میشوند، مورد سوءاستفاده قرار گیرد. این آسیبپذیری زمانی رخ میدهد که ورودیهای دادهای به درستی در برابر دستورات سیستم ایزوله نشده و مهاجم قادر است کد دلخواه خود را در سیستم اجرا کند. این موضوع میتواند منجر به دسترسی غیرمجاز، تغییر تنظیمات و به خطر افتادن امنیت سیستم گردد.
CVSS
| Score | Severity | Version | Vector String |
| 9.8 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| 15.03.05.14 | Tenda AC9 |
نتیجه گیری
با توجه به بحرانی بودن این آسیب پذیری توصیه می شود تا زمان ارائه ی پچ رسمی، کاربران Telnet را غیر فعال کرده و اقدامات امنیتی اضافی جهت جلوگیری از سوءاستفاده را اعمال نمایند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-45042
- https://www.cvedetails.com/cve/CVE-2025-45042/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-45042
- https://vuldb.com/?id.307448
- https://github.com/Ghostsuzhijian/Iot-/blob/main/ac9_telnetd/rx3_telnetd.md
- https://nvd.nist.gov/vuln/detail/CVE-2025-45042
- https://cwe.mitre.org/data/definitions/78.html
