خانه » CVE-2025-6916
هشدار‌های سایبری

CVE-2025-6916

TOTOLINK T6 FormLoginAuth.Htm Form_Login Missing Authentication

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 3 بازدید
هشدار سایبری CVE-2025-6916
  • شناسه CVE-2025-6916 :CVE
  • CWE-306/CWE-287 :CWE
  • yes :Advisory
  • منتشر شده: ژوئن 30, 2025
  • به روز شده: ژوئن 30, 2025
  • امتیاز: 8.8
  • نوع حمله: Authorization
  • اثر گذاری: Unknown
  • حوزه: تجهیزات شبکه و امنیت
  • برند: TOTOLINK
  • محصول: T6
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

یک آسیب‌پذیری در روتر TOTOLINK T6 به دلیل عدم احراز هویت در تابع Form_Login در مسیرفایل /formLoginAuth.htm شناسایی شده است. این آسیب پذیری به مهاجم امکان دسترسی غیرمجاز به صفحه اصلی را می‌دهد.

توضیحات

این آسیب‌پذیری در روتر TOTOLINK T6 نسخه 4.1.5cu.748_B20211015  ، به دلیل عدم احراز هویت (CWE-306)  و احراز هویت نادرست (CWE-287) در تابع Form_Login در مسیر /formLoginAuth.htm رخ می‌دهد. مهاجم بدون نیاز به احراز هویت و با دسترسی به شبکه لوکال می‌تواند با دستکاری پارامترهای authCode  و goURL به صفحه اصلی روتر دسترسی پیدا کند، که این موضوع بر محرمانگی(confidentiality)  ، یکپارچگی (integrity) و در دسترس پذیری (availability) تاثیر می گذارد. این آسیب پذیری ممکن است منجر  به دسترسی غیرمجاز به تنظیمات روتر، تغییر پیکربندی یا نصب بدافزار شود. کد اثبات مفهومی(POC) عمومی درgithub   منتشر شده که بهره‌برداری آسان را نشان می‌دهد. در حال حاضر هیچگونه پچ یا به روزرسانی امنیتی از سوی TOTOLINK منتشر نشده است.

CVSS

Score Severity Version Vector String
8.7 HIGH 4.0 CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P
8.8 HIGH 3.1 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:W/RC:R
8.8 HIGH 3.0 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:W/RC:R
8.3 2.0 AV:A/AC:L/Au:N/C:C/I:C/A:C/E:POC/RL:W/RC:UR

لیست محصولات آسیب پذیر

Versions Product
affected at 4.1.5cu.748_B20211015 T6

نتیجه گیری

به کاربران  توصیه می شود مدیریت از راه دور را غیرفعال کرده و فایروال محدودکننده را اعمال نمایند. همچنین در صورت عدم انتشار پچ امنیتی لازم است روتر را با محصولی امن‌تر جایگزین کنند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-6916
  2. https://www.cvedetails.com/cve/CVE-2025-6916/
  3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-6916
  4. https://vuldb.com/?submit.605101
  5. https://vuldb.com/?id.314409
  6. https://vuldb.com/?ctiid.314409
  7. https://github.com/c0nyy/IoT_vuln/blob/main/TOTOLINK%20T6%20Vuln.md
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-6916
  9. https://cwe.mitre.org/data/definitions/306.html
  10. https://cwe.mitre.org/data/definitions/287.html

همچنین ممکن است دوست داشته باشید

CVE-2025-47170

CVE-2025-47171

CVE-2025-6896

CVE-2025-6897

CVE-2025-6898

CVE-2025-6899

CVE-2025-45931

CVE-2025-6940

CVE-2025-6939

CVE-2025-47172

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.