5
- شناسه CVE-2025-45490 :CVE
- CWE-77 :CWE
- no :Advisory
- منتشر شده: می 6, 2025
- به روز شده: می 6, 2025
- امتیاز: 6.5
- نوع حمله: Command Injection
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: Linksys
- محصول: E5600
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری از نوع تزریق فرمان (Command Injection) در روتر Linksys E5600 نسخه 1.1.0.26، در تابع runtime.ddnsStatus DynDNS از طریق پارامتر password شناسایی شده است .
توضیحات
این آسیبپذیری ممکن است بدون نیاز به احراز هویت و از طریق شبکه قابل بهرهبرداری باشد. مهاجم میتواند با ارسال دادهی مخرب در پارامتر password، به اجرای دستورات در سطح سیستمعامل بپردازد. وجود کد اثبات مفهومی (PoC) عمومی، ریسک سوءاستفاده از این آسیبپذیری را افزایش داده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| 1.1.0.26 | E5600 |
نتیجه گیری
این آسیبپذیری تهدیدی جدی برای کاربران Linksys E5600 محسوب میشود. پیشنهاد میشود اقدامات کاهشدهنده نظیر محدودسازی دسترسی به شبکه یا جایگزینی دستگاه، تا زمان انتشار پچ امنیتی اتخاذ گردد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-45490
- https://www.cvedetails.com/cve/CVE-2025-45490/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-45490
- https://vuldb.com/?id.307661
- https://github.com/JZP018/vuln03/blob/main/linksys/E5600/CI_ddnsStatus_DynDNS_password/CI_ddnsStatus_DynDNS_password.pdf
- https://github.com/JZP018/vuln03/blob/main/linksys/E5600/CI_ddnsStatus_DynDNS_password/CI_ddnsStatus_DynDNS_password.py
- https://cwe.mitre.org/data/definitions/77.html
