خانه » CVE-2025-7460
هشدار‌های سایبری

CVE-2025-7460

TOTOLINK T6 HTTP POST Request Cstecgi.Cgi SetWiFiAclRules Buffer Overflow

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 6 بازدید
هشدار سایبری CVE-2025-7460



  • شناسه CVE-2025-7460 :CVE
  • CWE-120/CWE-119 :CWE
  • yes :Advisory
  • منتشر شده: جولای 11, 2025
  • به روز شده: جولای 11, 2025
  • امتیاز: 8.8
  • نوع حمله: Buffer Overflow
  • اثر گذاری: Unknown
  • حوزه: تجهیزات شبکه و امنیت
  • برند: TOTOLINK
  • محصول: T6
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

یک آسیب‌پذیری از نوع سرریز بافر (Buffer Overflow) در روتر TOTOLINK T6 نسخه 4.1.5cu.748_B20211015 شناسایی شده است. این آسیب پذیری به مهاجم مجاز از راه دور اجازه می‌دهد با ارسال کامپوننت پردازشگر درخواست HTTP POST به تابع setWiFiAclRules، دستورات دلخواه اجرا کند. این آسیب پذیری می‌تواند امنیت و عملکرد دستگاه را به‌طور کامل تهدید کند.

توضیحات

یک آسیب پذیری در روتر TOTOLINK T6 نسخه 4.1.5cu.748_B20211015، تابع setWiFiAclRules در فایل /cgi-bin/cstecgi.cgi به دلیل عدم اعتبارسنجی مناسب اندازه ورودی در آرگومان mac، منجر به سرریز بافر  (CWE-120)می‌شود. این آسیب‌پذیری به مهاجم مجاز با دسترسی پایین اجازه می‌دهد با ارسال درخواست HTTP POST مخرب، کد دلخواه اجرا کند که این موضوع می‌تواند محرمانگی، یکپارچگی و در دسترس پذیری دستگاه را تهدید کرده و امکان کنترل کامل روتر را به مهاجم بدهد. بهره‌برداری از این آسیب‌پذیری به‌صورت از راه دور امکان‌پذیر بوده و نیازی به تعامل کاربر ندارد. کد اثبات مفهومی (PoC) به‌صورت عمومی در دسترس است که ریسک سوءاستفاده را افزایش می‌دهد. در حال حاضر هیچگونه پچ امنیتی از سوی TOTOLINK منتشر نشده است.

CVSS

Score Severity Version Vector String
8.7 HIGH 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P
8.8 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R
8.8 HIGH 3.0 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R
9.0 2.0 AV:N/AC:L/Au:S/C:C/I:C/A:C/E:POC/RL:ND/RC:UR

لیست محصولات آسیب پذیر

Versions Product
affected at 4.1.5cu.748_B20211015 T6

نتیجه گیری

به کاربران توصیه می شود تا زمان انتشار پچ امنیتی رسمی، دسترسی به رابط وب روتر TOTOLINK T6 را با فایروال محدود کرده یا از محصول جایگزین استفاده کنند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-7460
  2. https://www.cvedetails.com/cve/CVE-2025-7460/
  3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-7460
  4. https://vuldb.com/?submit.609819
  5. https://vuldb.com/?id.316111
  6. https://vuldb.com/?ctiid.316111
  7. https://github.com/ElvisBlue/Public/blob/main/Vuln/1.md
  8. https://github.com/ElvisBlue/Public/blob/main/Vuln/1.md#poc
  9. https://nvd.nist.gov/vuln/detail/CVE-2025-7460
  10. https://cwe.mitre.org/data/definitions/120.html
  11. https://cwe.mitre.org/data/definitions/119.html

همچنین ممکن است دوست داشته باشید

CVE-2025-30751

CVE-2025-50076

CVE-2025-50078

CVE-2025-50082

CVE-2025-50083

CVE-2025-50085

CVE-2025-53024

CVE-2025-53025

CVE-2025-53026

CVE-2025-53028

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.