5
- شناسه CVE-2025-45488 :CVE
- CWE-77 :CWE
- no :Advisory
- منتشر شده: می 6, 2025
- به روز شده: می 6, 2025
- امتیاز: 6.5
- نوع حمله: Command Injection
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: Linksys
- محصول: E5600
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری Command Injection در روتر Linksys E5600 با نسخه v1.1.0.26 شناسایی شده است. این آسیبپذیری از طریق پارامتر mailex در تابع runtime.ddnsStatus DynDNS قابل بهرهبرداری است.
توضیحات
مهاجم میتواند با ارسال پارامترهای مخرب به پارامتر mailex، منجر به اجرای دستورات سیستمعامل شود. این آسیبپذیری بدون نیاز به احراز هویت یا تعامل کاربر قابل بهرهبرداری است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| 1.1.0.26 | E5600 |
نتیجه گیری
این آسیب پذیری با توجه به وجود کد بهرهبرداری عمومی (POC)و عدم ارائه پچ امنیتی، تهدیدی جدی محسوب می شود. بنابراین به کاربران توصیه می شود هرچه سریع تر اقدامات امنیتی جایگزین مانند محدودسازی دسترسی ها یا استفاده از راهکارهای موقتی را اجرا نمایند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-45488
- https://www.cvedetails.com/cve/CVE-2025-45488/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-45488
- https://vuldb.com/?id.307659
- https://github.com/JZP018/vuln03/blob/main/linksys/E5600/CI_ddnsStatus_DynDNS_mailex/CI_ddnsStatus_DynDNS_mailex.pdf
- https://github.com/JZP018/vuln03/blob/main/linksys/E5600/CI_ddnsStatus_DynDNS_mailex/CI_ddnsStatus_DynDNS_mailex.py
- https://nvd.nist.gov/vuln/detail/CVE-2025-45488
- https://cwe.mitre.org/data/definitions/77.html
