- شناسه CVE-2025-6265 :CVE
- CWE-22 :CWE
- yes :Advisory
- منتشر شده: جولای 15, 2025
- به روز شده: جولای 15, 2025
- امتیاز: 7.2
- نوع حمله: Path Traversal
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: Zyxel
- محصول: NWA50AX PRO firmware
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری پیمایش مسیر غیرمجاز (Path Traversal) در برنامه file_upload-cgi در فریمور دستگاههای دسترسی (AP) Zyxel، از جمله NWA50AX PRO نسخه 7.10(ACGE.2) و قبلتر شناسایی شده است. این آسیب پذیری به مهاجم مجاز با دسترسی Admin اجازه میدهد به دایرکتوریهای خاص دسترسی پیدا کرده و فایلهایی مانند فایل پیکربندی را حذف کند. این مشکل میتواند امنیت و عملکرد دستگاه را تهدید کند.
توضیحات
در فریمورهای آسیبپذیر دستگاههای Zyxel، از جمله NWA50AX PRO نسخه 7.10(ACGE.2) و قبلتر، برنامه file_upload-cgi به دلیل پیمایش مسیر غیرمجاز فایلها (CWE-22) به مهاجم لوکال یا از راه دور با دسترسی Admin اجازه میدهد به دایرکتوریهای غیرمجاز دسترسی پیدا کرده و فایلهای حساس، مانند فایل پیکربندی دستگاه را حذف کند. همچنین، محرمانگی، یکپارچگی و در دسترس پذیری دستگاه را تحت تاثیر قرار می دهد. این آسیبپذیری به دسترسی Admin نیاز داشته و از آنجا که رابط مدیریت معمولاً در شبکه LAN می باشد، سوءاستفاده از آن تنها در صورت افشا شدن رمزهای عبور قوی Admin ممکن است. Zyxel پچ هایی را برای مدلهای تحت پشتیبانی منتشر کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 7.2 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| 7.10(ABYW.1) and earlier | NWA50AX |
| 7.10(ACGE.2) and earlier | NWA50AX PRO |
| 7.10(ABZL.1) and earlier | NWA55AXE |
| 7.10(ACCV.1) and earlier | NWA90AX |
| 7.10(ACGF.2) and earlier | NWA90AX PRO |
| 7.10(ABTG.1) and earlier | NWA110AX |
| 7.10(ACIL.2) and earlier | NWA130BE |
| 7.10(ABTD.1) and earlier | NWA210AX |
| 7.10(ACCO.1) and earlier | NWA220AX-6E |
| 6.28(ABHD.3) and earlier | NWA1123AC PRO |
| 6.70(ABWA.6) and earlier | WAC500H |
| 6.25(ABVZ.9) and earlier | WAC5302D-Sv2 |
| 6.28(AAXH.3) and earlier | WAC6103D-I |
| 7.10(ACHF.1) and earlier | WAX300H |
| 7.10(ABTF.1) and earlier | WAX510D |
| 7.10(ABTE.1) and earlier | WAX610D |
| 7.10(ACCN.1) and earlier | WAX620D-6E |
| 7.10(ABZD.1) and earlier | WAX630S |
| 7.10(ACCM.1) and earlier | WAX640S-6E |
| 7.10(ABRM.1) and earlier | WAX650S |
| 7.10(ACDO.1) and earlier | WAX655E |
| 7.10(ACLE.2) and earlier | WBE530 |
| 7.10(ACGG.2) and earlier | WBE660S |
لیست محصولات بروز شده
| Versions | Product |
| 7.10(ABYW.3) | NWA50AX |
| 7.10(ACGE.3) | NWA50AX PRO |
| 7.10(ABZL.3) | NWA55AXE |
| 7.10(ACCV.3) | NWA90AX |
| 7.10(ACGF.3) | NWA90AX PRO |
| 7.10(ABTG.3) | NWA110AX |
| 7.20(ACIL.1) | NWA130BE |
| 7.10(ABTD.3) | NWA210AX |
| 7.10(ACCO.3) | NWA220AX-6E |
| Hotfix by request | NWA1123AC PRO |
| 6.70(ABWA.7) | WAC500H |
| Hotfix by request | WAC5302D-Sv2 |
| Hotfix by request | WAC6103D-I |
| 7.10(ACHF.3) | WAX300H |
| 7.10(ABTF.3) | WAX510D |
| 7.10(ABTE.3) | WAX610D |
| 7.10(ACCN.3) | WAX620D-6E |
| 7.10(ABZD.3) | WAX630S |
| 7.10(ACCM.3) | WAX640S-6E |
| 7.10(ABRM.3) | WAX650S |
| 7.10(ACDO.3) | WAX655E |
| 7.20(ACLE.1) | WBE530 |
| 7.20(ACGG.1) | WBE660S |
نتیجه گیری
به مدیران سیستمها و شبکهها توصیه میشود در اسرع وقت فریمور دستگاههای Zyxel AP را به نسخههای پچ شده بهروزرسانی کرده و از رمزهای عبور قوی برای حسابهای Admin استفاده کنند. همچنین، پیشنهاد می شود دسترسی به رابط مدیریت را با فایروال محدود کنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-6265
- https://www.cvedetails.com/cve/CVE-2025-6265/
- https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-path-traversal-vulnerability-in-aps-07-15-2025
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-6265
- https://nvd.nist.gov/vuln/detail/CVE-2025-6265
- https://cwe.mitre.org/data/definitions/22.html
