- شناسه CVE-2025-46176 :CVE
- CWE-77 :CWE
- yes :Advisory
- منتشر شده: می 23, 2025
- به روز شده: می 23, 2025
- امتیاز: 6.5
- نوع حمله: Remote Command Execution
- اثر گذاری: Remote Command Execution
- حوزه: تجهیزات شبکه و امنیت
- برند: D-link
- محصول: DIR605L
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری امنیتی در سرویس Telnet برخی روترهای قدیمی D-Link شناسایی شده است که ناشی از وجود اطلاعات ورود (نام کاربری و رمز عبور) به صورت هاردکد شده در فریمور دستگاه است. این مسئله میتواند برای مهاجم امکان اجرای دستورات دلخواه از راه دور را فراهم کند.
توضیحات
یک آسیب پذیری امنیتی در روترهای شرکت D-Link با مدلهای DIR-605L نسخه v2.13B01 و DIR-816L نسخه v2.06B01، به دلیل وجود اطلاعات ورود ثابت (hardcoded credentials) در سرویس Telnet شناسایی شده است. این اطلاعات در فایل image_sign ذخیره شده و هنگام راهاندازی سرویس Telnet بهطور مستقیم مورد استفاده قرار می گیرند. مهاجم با استخراج فریمور میتواند این اطلاعات را به دست آورده و از طریق سرویس Telnet به اجرای فرمان های دلخواه بپردازد. این سرویس تنها زمانی فعال است که دستگاه به حساب کاربری mydlink متصل نشده باشد. همچنین این آسیب پذیری بر محرمانگی (confidentiality)، یکپارچگی (integrity) و در دسترس پذیری (availability) تاثیر می گذارد. با توجه به پایان پشتیبانی (EOL/EOS) این مدل ها، برای آنها هیچگونه به روزرسانی امنیتی ارائه نخواهد شد.
CVSS
Score | Severity | Version | Vector String |
6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
Versions | Product |
v2.13B01 | DIR-605L |
v2.06B01 | DIR-816L |
نتیجه گیری
با توجه به پایان دوره پشتیبانی این محصولات و عدم ارائه بهروزرسانیهای امنیتی، توصیه میشود دستگاههای آسیبپذیر با مدلهای جدیدتر و دارای پشتیبانی فعال، جایگزین شده تا از بروز مخاطرات امنیتی جلوگیری گردد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-46176
- https://www.cvedetails.com/cve/CVE-2025-46176/
- https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10427
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-46176
- https://vuldb.com/?id.310217
- https://nvd.nist.gov/vuln/detail/CVE-2025-46176
- https://github.com/namberino/cve/tree/main/CVE-2025-46176
- https://cwe.mitre.org/data/definitions/77.html