خانه » CVE-2025-5903
هشدار‌های سایبری

CVE-2025-5903

TOTOLINK T10 POST Request Cstecgi.Cgi SetWiFiAclRules Buffer Overflow

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 8 بازدید
هشدار سایبری CVE-2025-5903
  • شناسه CVE-2025-5903 :CVE
  • CWE-120/CWE-119 :CWE
  • yes :Advisory
  • منتشر شده: ژوئن 9, 2025
  • به روز شده: ژوئن 9, 2025
  • امتیاز: 8.8
  • نوع حمله: Buffer Overflow
  • اثر گذاری: Unknown
  • حوزه: تجهیزات شبکه و امنیت
  • برند: TOTOLINK
  • محصول: T10
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

یک آسیب‌پذیری در مدل TOTOLINK T10 نسخه‌ی 4.1.8cu.5207 شناسایی شده است که در آن تابع setWiFiAclRules  واقع در مسیر فایل   /cgi-bin/cstecgi.cgi هنگام پردازش پارامتر desc دچار سرریز بافر(Buffer Overflow)  می‌شود.

توضیحات

تابع setWiFiAclRules  در نسخه‌ی 4.1.8cu.5207  از روتر TOTOLINK T10، هنگام دریافت پارامتر desc  از طریق کامپوننت پردازشگر درخواست POST ، داده‌ها را بدون بررسی اندازه‌ی آن‌ها در یک بافر کپی می‌کند. این فرآیند منجر به آسیب‌پذیری سرریز بافر شده که مهاجم می‌تواند از آن برای اجرای کد دلخواه استفاده کند.

نمونه کد اثبات مفهومی (PoC) و اکسپلویت این آسیب‌پذیری به صورت عمومی منتشر شده و بهره‌برداری از آن نسبتاً آسان ارزیابی شده است. این آسیب‌پذیری امکان اجرای حمله از راه دور را برای مهاجم فراهم کرده و سه اصل امنیت یعنی محرمانگی (confidentiality)، یکپارچگی (integrity) و در دسترس پذیری (availability) را تحت تاثیر قرار می دهد. در حال حاضر هیچ راهکار یا پچ رسمی برای این آسیب پذیری ارائه نشده است.

CVSS

Score Severity Version Vector String
8.7 HIGH 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P
8.8 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R
8.8 HIGH 3.0 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R
9.0 2.0 AV:N/AC:L/Au:S/C:C/I:C/A:C/E:POC/RL:ND/RC:UR

لیست محصولات آسیب پذیر

Versions Product
affected at 4.1.8cu.5207 T10

نتیجه گیری

به کاربران روتر TOTOLINK T10 توصیه می‌شود در صورت امکان نسبت به جایگزینی دستگاه با محصولی امن‌تر اقدام نمایند. همچنین بررسی مداوم وب‌سایت رسمی TOTOLINK برای دریافت به‌روزرسانی‌های امنیتی ضروری است.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-5903
  2. https://www.cvedetails.com/cve/CVE-2025-5903/
  3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-5903
  4. https://vuldb.com/?submit.592247
  5. https://vuldb.com/?id.311676
  6. https://vuldb.com/?ctiid.311676
  7. https://candle-throne-f75.notion.site/TOTOLINK-T10-setWiFiAclRules-20bdf0aa118580399a8df6ba2a44c197
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-5903
  9. https://cwe.mitre.org/data/definitions/120.html
  10. https://cwe.mitre.org/data/definitions/119.html

همچنین ممکن است دوست داشته باشید

CVE-2025-5904

CVE-2025-5905

CVE-2025-47966

CVE-2025-33073

CVE-2025-32713

CVE-2025-33070

CVE-2025-33071

CVE-2025-33053

CVE-2025-23192

CVE-2025-31325

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.