- شناسه CVE-2025-46626 :CVE
- CWE-326 :CWE
- no :Advisory
- منتشر شده: می 1, 2025
- به روز شده: می 1, 2025
- امتیاز: 7.3
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: Tenda
- محصول: RX2 Pro
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
به دلیل استفاده از کلید رمزنگاری ثابت در ارتباط بین دستگاه Tenda RX2 Pro و سرویس مدیریتی آن، دستگاه را در برابر شنود و جعل دادهها آسیبپذیر می سازد. این آسیب پذیری به مهاجم اجازه میدهد که دادهها را رمزگشایی ، بازپخش یا جعل کند.
توضیحات
سرویس مدیریتی داخلی دستگاه از الگوریتم AES برای رمزنگاری استفاده میکند، اما کلید و IV مورد استفاده در این فرآیند بهصورت ثابت و مشترک در تمام دستگاهها تعریف شدهاند. این مسئله به مهاجم این امکان را می دهد که با دسترسی به نمونه ای از این ارتباط، تمامی ترافیک رمزگشایی شده دیگر را رمزگشایی کرده یا ارتباط جعلی ایجاد کند. این آسیب پذیری در طراحی رمزنگاری، باعث کاهش شدید محرمانگی و یکپارچگی ارتباطات مدیریتی دستگاه می شود.
CVSS
| Score | Severity | Version | Vector String |
| 7.3 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
|
Versions |
Product |
|
16.03.30.14 |
Tenda RX2 Pro |
نتیجه گیری
به کاربران توصیه میشود که این دستگاهها را از دسترسی عمومی به شبکه محافظت کرده و منتظر وصله امنیتی رسمی باشند.
منابع
1. https://www.cve.org/CVERecord?id=CVE-2025-46626
2. https://www.cvedetails.com/cve/CVE-2025-46626/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-46626
4. https://vuldb.com/?id.307137
5. https://nvd.nist.gov/vuln/detail/CVE-2025-46626
