5
- شناسه CVE-2025-45487 :CVE
- CWE-77 :CWE
- no :Advisory
- منتشر شده: می 6, 2025
- به روز شده: می 6, 2025
- امتیاز: 6.5
- نوع حمله: Command Injection
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: Linksys
- محصول: E5600
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری از نوع تزریق فرمان (Command Injection) در نسخه خاصی از محصول Linksys E5600 شناسایی شده است که به مهاجم امکان اجرای دستورات دلخواه در سیستم را میدهد.
توضیحات
آسیبپذیری در نسخه 1.1.0.26 از Linksys E5600 و در تابع runtime.InternetConnection شناسایی شده است. مهاجم از طریق ارسال دادههای مخرب به این تابع میتواند فرمانهای دلخواه را روی سیستم هدف اجرا کند. این آسیبپذیری بدون نیاز به احراز هویت و تعامل کاربر قابل بهرهبرداری است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| 1.1.0.26 | E5600 |
نتیجه گیری
با توجه به انتشارکد بهره برداری عمومی (POC) برای این آسیبپذیری و عدم ارائه پچ امنیتی، کاربران باید هر چه سریعتر اقدامات امنیتی لازم را انجام دهند. توصیه میشود تا زمان ارائه ی پچ امنیتی، از دسترسی به دستگاههای آسیبپذیر جلوگیری گردد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-45487
- https://www.cvedetails.com/cve/CVE-2025-45487/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-45487
- https://vuldb.com/?id.307658
- https://github.com/JZP018/vuln03/blob/main/linksys/E5600/CI_InternetConnection/CI_InternetConnection.pdf
- https://github.com/JZP018/vuln03/blob/main/linksys/E5600/CI_InternetConnection/CI_InternetConnection.py
- https://nvd.nist.gov/vuln/detail/CVE-2025-45487
- https://cwe.mitre.org/data/definitions/77.html
