- شناسه CVE-2025-46630 :CVE
- CWE-287 :CWE
- no :Advisory
- منتشر شده: می 1, 2025
- به روز شده: می 1, 2025
- امتیاز: 6.5
- نوع حمله: Unknown
- اثر گذاری: Privilege Escalation
- حوزه: تجهیزات شبکه و امنیت
- برند: Tenda
- محصول: RX2 Pro
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
در روتر Tenda RX2 Pro نسخه 16.03.30.14 یک آسیبپذیری شناسایی شده است. این ضعف امنیتی در بخشی از درگاه مدیریت تحت وب (Web Management Portal) و بهطور خاص در فایل /goform/ate قرار دارد.
این آسیبپذیری منجر به نقض کنترل دسترسی (Access Control) میشود. حمله میتواند از راه دور (Remote) و بدون نیاز به احراز هویت (Unauthenticated) انجام شود.
توضیحات
دستکاری ورودی با ورودی ناشناخته منجر به نقص در کنترل دسترسی میشود. این مشکل با شناسه CWE-287 طبقهبندی شده است. این محصول دسترسی به منابع را از طرف یک عامل غیرمجاز محدود نکرده یا به اشتباه محدود میکند. این موضوع میتواند بر محرمانگی، یکپارچگی و در دسترس بودن تأثیر بگذارد.
اکسپلویت این آسیب پذیری آسان است. این حمله میتواند از راه دور انجام شود. هیچ نوع احراز هویتی برای اکسپلویت آن نیاز نیست.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| 16.03.30.14 | Tenda RX2 Pro |
نتیجه گیری
هیچ اطلاعاتی درباره اقدامات مقابلهای شناخته شده وجود ندارد. پیشنهاد میشود که شیء آسیبدیده با یک محصول جایگزین تعویض شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-46630
- https://www.cvedetails.com/cve/CVE-2025-46630/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-46630
- https://vuldb.com/?id.307131
- https://nvd.nist.gov/vuln/detail/CVE-2025-46630
- https://cwe.mitre.org/data/definitions/287.html
- https://blog.uturn.dev/#/writeups/iot-village/tenda-rx2pro/README?id=cve-2025-46630-enable-ate-unauthenticated-through-httpd
