- شناسه CVE-2025-4834 :CVE
- CWE-120/CWE-119 :CWE
- no :Advisory
- منتشر شده: می 17, 2025
- به روز شده: می 17, 2025
- امتیاز: 8.8
- نوع حمله: Buffer Overflow
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: TOTOLINK
- محصول: A702R
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در روترهای TOTOLINK مدلهای A702R، A3002R و A3002RU شناسایی شده است. این آسیبپذیری مربوط به بخشی ناشناخته از فایل /boafrm/formSetLg در مؤلفهی دریافتکننده درخواستهای HTTP POST است. در این آسیبپذیری، دستکاری پارامتر submit-url میتواند منجر به سرریز بافر (Buffer Overflow) شود. این آسیبپذیری با شناسه CVE-2025-4834 شناخته میشود و قابلیت اکسپلویت از راه دور را دارد.
توضیحات
در این آسیبپذیری، به دلیل عدم بررسی صحیح اندازهی دادههای ورودی نسبت به اندازه بافر خروجی است که منجر می شود دادههای بیش از اندازه ظرفیت بافر در حافظه کپی میشوند که باعث سرریز بافر میشود. این نوع آسیبپذیری بر اساس استاندارد CWE با شناسه CWE-120 طبقهبندی میشود. این مسئله میتواند محرمانگی (confidentiality)، یکپارچگی (integrity)، و در دسترس بودن (availability) سیستم را به خطر بیندازد.
CVSS
| Score | Severity | Version | Vector String |
| 8.7 | HIGH | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
| 8.8 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 8.8 | HIGH | 3.0 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 9.0 | _ | 2.0 | AV:N/AC:L/Au:S/C:C/I:C/A:C |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 3.0.0-B20230809.1615 | A702R |
| affected at 3.0.0-B20230809.1615 | A3002R |
| affected at 3.0.0-B20230809.1615 | A3002RU |
نتیجه گیری
هیچ راهکار رسمی برای جلوگیری از این آسیبپذیری ارائه نشده است، و توصیه میشود از یک محصول جایگزین استفاده شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-4834
- https://www.cvedetails.com/cve/CVE-2025-4834/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-4834
- https://vuldb.com/?id.309300
- https://cwe.mitre.org/data/definitions/120.html
- https://cwe.mitre.org/data/definitions/119.html
- https://nvd.nist.gov/vuln/detail/CVE-2025-4834
