6
- شناسه CVE-2025-46631 :CVE
- CWE-287 :CWE
- no :Advisory
- منتشر شده: می 1, 2025
- به روز شده: می 1, 2025
- امتیاز: 6.5
- نوع حمله: Authentication Bypass
- اثر گذاری: Unauthenticated access
- حوزه: تجهیزات شبکه و امنیت
- برند: Tenda
- محصول: RX2 Pro
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری CVE-2025-46631در رابط مدیریتی روتر Tenda RX2 Pro به مهاجم اجازه میدهد بدون نیاز به احراز هویت، سرویس Telnet را فعال کرده و دسترسی مستقیم به سیستمعامل دستگاه را فراهم کند.
توضیحات
در نسخهی 16.03.30.14 از سیستم عامل Tenda RX2 Pro، ارسال درخواست به مسیر /goform/telnet بدون نیاز به لاگین کاربر، منجر به فعالسازی Telnet میشود. این آسیب پذیری در فرآیند احراز هویت میتواند زمینه ساز دسترسی غیرمجاز و بهره برداری مستقیم از سیستم گردد.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| 16.03.30.14 | Tenda RX2 Pro |
نتیجه گیری
فقدان احراز هویت در فعالسازی Telnet، یک ریسک امنیتی جدی محسوب میشود که به مهاجمان امکان کنترل از راه دور بدون مجوز را میدهد. کاربران به منظور جلوگیری از سوءاستفاده احتمالی می بایست دسترسی به رابط مدیریتی را محدود کنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-46631
- https://www.cvedetails.com/cve/CVE-2025-46631/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-46631
- https://vuldb.com/?id.307132
- https://nvd.nist.gov/vuln/detail/CVE-2025-46631
- https://cwe.mitre.org/data/definitions/287.html
- https://blog.uturn.dev/#/writeups/iot-village/tenda-rx2pro/README?id=cve-2025-46631-enable-telnet-unauthenticated-through-httpd
