- شناسه CVE-2025-4850 :CVE
- CWE-77/CWE-74 :CWE
- yes :Advisory
- منتشر شده: می 18, 2025
- به روز شده: می 18, 2025
- امتیاز: 6.3
- نوع حمله: Command Injection
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: TOTOLINK
- محصول: N300RH
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری از نوع تزریق فرمان (Command Injection)در روتر TOTOLINK N300RH نسخه 6.1c.1390_B20191101 شناسایی شده است. این آسیب پذیری به مهاجم اجازه میدهد از راه دور با استفاده از آرگومان مخرب در پارامتر plugin_name در تابع setUnloadUserData، فرمان دلخواه روی سیستم هدف اجرا کند.
توضیحات
این آسیبپذیری در فایل /cgi-bin/cstecgi.cgi و تابع setUnloadUserData قرار دارد که در صورت ارسال ورودی مخرب از طریق پارامتر plugin_name، منجر به تزریق فرمان (Command Injection) میشود. بهرهبرداری از این آسیبپذیری نیازی به تعامل کاربر ندارد و مهاجم میتواند با دسترسی سطح پایین، حمله را از راه دور انجام دهد. این آسیبپذیری توسط کاربر DaddyShark در VulDB گزارش شده و جزئیات آن در مخزن GitHub اعلام شده است. همچنین این آسیب پذیری محرمانگی (confidentiality)، یکپارچگی (integrity) و در دسترس پذیری (availability) سیستم را تحت تاثیر قرار می دهد.
CVSS
Score | Severity | Version | Vector String |
5.3 | MEDIUM | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N |
6.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
6.3 | MEDIUM | 3.0 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
6.5 | — | 2.0 | AV:N/AC:L/Au:S/C:P/I:P/A:P |
لیست محصولات آسیب پذیر
Versions | Product |
affected at 6.1c.1390_B20191101 | N300RH |
نتیجه گیری
با توجه به شدت آسیبپذیری (MEDIUM) و انتشار عمومی جزئیات بهرهبرداری، توصیه میشود کاربران از استفاده از نسخه آسیبپذیر خودداری کرده و در صورت امکان، نسبت به جایگزینی آن با محصولی امنتر اقدام نمایند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-4850
- https://www.cvedetails.com/cve/CVE-2025-4850/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-4850
- https://vuldb.com/?id.309321
- https://vuldb.com/?submit.575073
- https://vuldb.com/?ctiid.309321
- https://github.com/CH13hh/tmp_store_cc/blob/main/tt/ta/m2.md
- https://nvd.nist.gov/vuln/detail/CVE-2025-4850
- https://cwe.mitre.org/data/definitions/77.html
- https://cwe.mitre.org/data/definitions/74.html