- شناسه CVE-2025-45489 :CVE
- CWE-77 :CWE
- no :Advisory
- منتشر شده: می 6, 2025
- به روز شده: می 6, 2025
- امتیاز: 6.5
- نوع حمله: Command Injection
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: Linksys
- محصول: E5600
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری از نوع تزریق فرمان (Command Injection) در نسخه 1.1.0.26 از روتر Linksys E5600 شناسایی شده است. این آسیبپذیری به مهاجم اجازه میدهد از طریق پارامتر hostname در تابع DynDNS، دستورات سیستمعامل را اجرا کند.
توضیحات
آسیبپذیری موردنظر در تابع runtime.ddnsStatus DynDNS و از طریق پارامتر hostname رخ میدهد. مهاجم بدون نیاز به احراز هویت میتواند داده مخرب به این پارامتر تزریق کرده و باعث اجرای دستورات دلخواه روی سیستم شود. برای این آسیبپذیری کد بهرهبرداری عمومی (POC) در دسترس قرار دارد.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| 1.1.0.26 | E5600 |
نتیجه گیری
با توجه به انتشار کد بهرهبرداری عمومی (POC) و عدم ارائه پچ امنیتی رسمی، کاربران باید در اسرع وقت اقدامات پیشگیرانه لازم را اتخاذ کنند. توصیه میشود تا زمان ارائه پچ امنیتی، از در معرض قرار دادن دستگاهها در شبکههای ناامن جلوگیری کرده و تدابیر امنیتی تقویت گردد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-45489
- https://www.cvedetails.com/cve/CVE-2025-45489/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-45489
- https://vuldb.com/?id.307660
- https://github.com/JZP018/vuln03/blob/main/linksys/E5600/CI_ddnsStatus_DynDNS_hostname/CI_ddnsStatus_DynDNS_hostname.pdf
- https://github.com/JZP018/vuln03/blob/main/linksys/E5600/CI_ddnsStatus_DynDNS_hostname/CI_ddnsStatus_DynDNS_hostname.py
- https://nvd.nist.gov/vuln/detail/CVE-2025-45489
- https://cwe.mitre.org/data/definitions/77.html
