CVE-2025-46632

Static IV reuse in Tenda RX2 Pro web management portal

توسط Vulnerbyte Alerts 2025-05-05

نوشته شده توسط Vulnerbyte Alerts 2025-05-05 4 بازدید

شناسه CVE-2025-46632 :CVE
CWE-323 :CWE
no :Advisory
منتشر شده: می 1, 2025
به روز شده: می 1, 2025
امتیاز: 6.5
نوع حمله: Unknown

اثر گذاری: Information Disclosure
حوزه: تجهیزات شبکه و امنیت
برند: Tenda
محصول: RX2 Pro
وضعیتPublished :CVE
No :POC
وضعیت آسیب پذیری: patch نشده

چکیده

در آسیب‌پذیری CVE-2025-46632، استفاده مجدد از بردار مقداردهی اولیه (IV) در فرآیند رمزنگاری رابط وب مدیریتی روتر Tenda RX2 Pro، می‌تواند منجر به افشای اطلاعات شود.

توضیحات

در نسخه 16.03.30.14 از سیستم‌عامل روتر Tenda RX2 Pro، فرآیند رمزنگاری بین کلاینت و سرور از یک بردار مقداردهی اولیه (IV) ثابت استفاده می‌کند. این مسئله می‌تواند به مهاجم این امکان را بدهد که با تحلیل الگوهای تکراری، پیام‌های رمزنگاری‌شده را ساده‌تر رمزگشایی کرده یا به اطلاعات حساس دسترسی پیدا کند. چنین ضعفی، یکی از موارد شناخته شده در طراحی ناکارآمد سامانه های رمزنگاری محسوب می شود.

CVSS

Score	Severity	Version	Vector String
6.5	MEDIUM	3.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

لیست محصولات آسیب پذیر

Versions	Product
16.03.30.14	Tenda RX2 Pro

نتیجه گیری

به کاربران توصیه می شود تا زمان انتشار وصله رسمی، از قرار دادن این دستگاه‌ها در معرض شبکه های عمومی خودداری کرده و با اعمال محدودیت بر دسترسی به رابط مدیریتی، ریسک سوءاستفاده را کاهش دهند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-46632

2. https://www.cvedetails.com/cve/CVE-2025-46632/

3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-46632

4. https://vuldb.com/?id.307133

5. https://nvd.nist.gov/vuln/detail/CVE-2025-46632

6. https://cwe.mitre.org/data/definitions/323.html

7.https://blog.uturn.dev/#/writeups/iot-village/tenda-rx2pro/README?id=cve-2025-46632-static-iv-use-in-httpd