- شناسه CVE-2025-8820 :CVE
- CWE-121, CWE-119 :CWE
- yes :Advisory
- منتشر شده: آگوست 10, 2025
- به روز شده: آگوست 10, 2025
- امتیاز: 8.8
- نوع حمله: Stack-based Buffer Overflow
- اثر گذاری: Arbitrary code execution(ACE)
- حوزه: تجهیزات شبکه و امنیت
- برند: Linksys
- محصول: Linksys RE router
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری سرریز بافر مبتنی بر پشته (Stack-Based Buffer Overflow) در تابع wirelessBasic روترهای Linksys بهدلیل عدم بررسی طول ورودی submit_SSID1 در مسیر /goform/wirelessBasic رخ میدهد. مهاجم از راه دور میتواند با ارسال درخواست HTTP شامل یک SSID بسیار طولانی، وب سرور دستگاه را دچار کرش کرده و در شرایط خاص امکان اجرای کد دلخواه را نیز بهدست آورد.
توضیحات
آسیبپذیری CVE-2025-8820 از نوع سرریز بافر مبتنی بر پشته مطابق با CWE-121 و خرابی حافظه مطابق CWE-119 است که در تابع wirelessBasic فایل /goform/wirelessBasic و باینری mod_form.so رخ میدهد. پارامتر submit_SSID1 که برای تنظیم نام شبکه بی سیم (SSID) استفاده میشود، بدون هیچگونه اعتبارسنجی طول ، مستقیماً به تابع nvram_bufset برای ذخیره درحافظه NVRAM ارسال شده و سپس در همان تابع به یک بافر لوکال روی پشته کپی می شود. اگر طول رشته بیش از اندازه بافر (معمولاً 256 تا 512 بایت) باشد، آدرس بازگشت تابع بازنویسی (Return Address) شده و کنترل جریان اجرا به مهاجم واگذار میشود.
توابع دیگری مانند wirelessWizard و inicBasic نیز از همین کد آسیبپذیر استفاده میکنند و با ارسال submit_SSID1 طولانی قابل بهرهبرداری هستند؛ بنابراین مسیرهای متعددی برای فعالسازی ضعف وجود دارد.
بهرهبرداری از این ضعف بهسادگی قابل خودکارسازی است؛ مهاجم میتواند با یک درخواست POST ساده به /goform/wirelessBasic و قرار دادن بیش از 1000 کاراکتر a در فیلد submit_SSID1، دستگاه را بلافاصله دچار کرش کند. حمله از راه دور، بدون نیاز به احراز هویت (در صورت دسترسی به شبکه LAN) انجام میشود. کد اثبات مفهومی (PoC) به صورت عمومی منتشر شده و بهرهبرداری را کاملاً عملیاتی کرده است. در شبکههای مهمان (Guest Network) یا زمانی که مدیریت از راه دور فعال باشد، امکان حمله از اینترنت نیز وجود دارد. پیامدهای امنیتی شامل تاثیر بالا بر محرمانگی با خواندن حافظه NVRAM شامل رمزهای عبور و کلیدهای رمزنگاری ، یکپارچگی با تغییر تنظیمات شبکه، رمز عبور یا نصب بکدور و در دسترسپذیری با کرش مداوم httpd و قطع سرویس بی سیم است. تاکنون شرکت Linksys هیچ گونه پچ یا به روزرسانی رسمی برای این آسیب پذیری منتشر نکرده است.
CVSS
| Score | Severity | Version | Vector String |
| 8.7 | HIGH | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P |
| 8.8 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R |
| 8.8 | HIGH | 3.0 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R |
| 9.0 | — | 2.0 | AV:N/AC:L/Au:S/C:C/I:C/A:C/E:POC/RL:ND/RC:UR |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 20250801 | RE6250 |
| affected at 20250801 | RE6300 |
| affected at 20250801 | RE6350 |
| affected at 20250801 | RE6500 |
| affected at 20250801 | RE7000 |
| affected at 20250801 | RE9000 |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Linksys router را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 1,510 | site:.ir “Linksys router” | Linksys router |
نتیجه گیری
این آسیبپذیری با شدت بالا در روترهای Linksys، امکان سرریز بافر مبتنی بر پشته، خرابی حافظه و در سناریوهای پیشرفته اجرای کد دلخواه را تنها از طریق ارسال یک SSID غیرعادی طولانی فراهم میکند. با توجه به عدم انتشار پچ رسمی و وجود PoC عمومی، اجرای اقدامات زیر برای کاهش ریسک و جلوگیری از بهرهبرداری ضروری است:
- بررسی به روزرسانی و جایگزینی: بهصورت دورهای وبسایت Linksys را برای دریافت فریم ور جدید بررسی کنید. در صورت عدم ارائه پچ امنیتی، از مدلهای جدیدتر یا دستگاههایی با پشتیبانی امنیتی فعال استفاده نمایید.
- غیرفعالسازی مدیریت از راه دور (Remote Management): امکان مدیریت از راه دور را فوراً غیرفعال کرده و دسترسی به رابط وب مدیریتی را فقط به IPهای مجاز داخل LAN محدود کنید تا سطح حمله کاملاً کاهش یابد.
- تقویت احراز هویت مدیریتی: رمز عبور مدیریت را با یک رمز قوی و تصادفی جایگزین کنید. در صورت پشتیبانی دستگاه، احراز هویت چندمرحلهای (2FA/MFA) را فعال نمایید.
- ایزولهسازی شبکه و محدودسازی ترافیک ورودی: روتر آسیبپذیر را در یک VLAN جداگانه یا شبکه DMZ قرار دهید و از طریق فایروال، پورتهای 80 و 443 را از سمت اینترنت مسدود کنید تا رابط وب از خارج قابل دسترسی نباشد.
- استفاده از WAF یا پروکسی معکوس: برای کاهش ریسک بهرهبرداری، یک فایروال اپلیکیشن وب (WAF) یا پروکسی معکوس مانند Nginx با قابلیت limit_req / request_size_limit بهکار ببرید تا درخواستهای POST با طول غیرعادی یا /goform/wirelessBasicمسدود شوند.
- مانیتورینگ لاگها: لاگهای httpd را بهصورت مستمر مانیتور کرده و برای درخواستهایی که مقدار فیلد SSID آنها بیش از 32 کاراکتر است هشدار تعریف کنید تا تلاشهای بهرهبرداری سریعاً شناسایی شود.
- اسکن منظم شبکه: با ابزارهای امنیتی مانند Nessus، OpenVAS یا Nmap NSE Scripts اسکن دورهای انجام دهید تا دستگاههای Linksys آسیبپذیر شناسایی و جدا یا جایگزین شوند.
تا زمان انتشار پچ رسمی، مطمئنترین شیوه کاهش ریسک، ایزولهسازی کامل دستگاه و محدود کردن دسترسی به رابط وب مدیریتی است. هرگونه دسترسی مستقیم به مسیرهای آسیبپذیر، بهویژه از طریق اینترنت یا شبکههای مهمان، ریسک بهرهبرداری را بهطور قابلتوجهی افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
بردار ورودی از طریق رابط وب و نقطهی /goform/setWan فعال میشود؛ مهاجم با ارسال یک POST دستکاریشده شامل مقدار بسیار طولانی در پارامتر staticIp میتواند ورودی را بدون احراز هویت کافی تزریق کند. نبود محدودیت اندازه و اعتبارسنجی ورودی باعث میشود این نقطه، سطح حملهی مستقیم برای ورود اولیه و فعالسازی مسیر سرریز بافر باشد.
Execution (TA0002)
پس از ذخیره ورودی مخرب در NVRAM، اجرای تابع setLan باعث کپیشدن داده بیش از حد در بافر پشته و بازنویسی return address میشود؛ این فرآیند اجرای کد دلخواه مهاجم را در کانتکست سرویس httpd ممکن میکند.
Privilege Escalation (TA0004)
بهدلیل اجرای کد در سطح فرایند httpd، مهاجم عملاً به سطح دسترسی مدیریتی روتر دست پیدا میکند و میتواند تنظیمات، فایروال، DHCP، یا رفتار شبکه را کنترل کند. بازنویسی return address مسیری برای افزایش سطح دسترسی فراهم میکند.
Defense Evasion (TA0005)
اجرای کد در فرایند استاندارد وبسرور دستگاه باعث میشود رفتار مخرب در نگاه اول شبیه فعالیت نرمال مدیریتی بهنظر برسد. مهاجم قادر است با تغییر تنظیمات لاگ، یا بازنویسی فایلهای پیکربندی، ردپا را کاهش دهد.
Credential Access (TA0006)
پس از دستیابی به اجرای کد، مهاجم میتواند فایلهای پیکربندی، رمزهای ذخیرهشده در NVRAM، و تنظیمات وایفای (SSID/Password) را استخراج کند؛ این اطلاعات میتواند دسترسی کامل به شبکه داخلی ایجاد کند.
Discovery (TA0007)
با کنترل روتر، مهاجم میتواند ساختار LAN، لیست کلاینتها، سرویسهای فعال، و توپولوژی شبکه را شناسایی کند. این مرحله پایهی حملات بعدی داخل شبکه خواهد بود.
Lateral Movement (TA0008)
کنترل روتر به مهاجم امکان میدهد ترافیک را هدایت، شنود، یا بازنویسی کند و از نفوذ به کلاینتها و سرویسهای دیگر در شبکه محلی برای حرکت جانبی استفاده کند.
Collection (TA0009)
با دسترسی به روتر، مهاجم قادر است بستهها، رمزهای وایفای، لاگهای DHCP، و اطلاعات حساس جریان دادهها را جمعآوری کند.
Exfiltration (TA0010)
مهاجم میتواند دادههای جمعآوریشده را از طریق کانالهای HTTP/HTTPS خروجی یا تونلسازی ترافیک از روتر به بیرون منتقل کند، بدون اینکه الگوی رفتاری غیرعادی ایجاد شود.
Impact (TA0040)
تأثیر نهایی شامل اجرای کد دلخواه، خاموشی یا کرش روتر، قطع سرویس شبکه داخلی، تغییر تنظیمات حیاتی، و در سناریوهای پیشرفته، کنترل کامل توپولوژی شبکه است؛ این حمله با اثرگذاری بالا روی محرمانگی، یکپارچگی و دسترسپذیری می باشد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-8820
- https://www.cvedetails.com/cve/CVE-2025-8820/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8820
- https://vuldb.com/?submit.626684
- https://vuldb.com/?id.319354
- https://vuldb.com/?ctiid.319354
- https://github.com/wudipjq/my_vuln/blob/main/Linksys1/vuln_54/54.md
- https://github.com/wudipjq/my_vuln/blob/main/Linksys1/vuln_54/54.md#poc
- https://nvd.nist.gov/vuln/detail/CVE-2025-8820
- https://cwe.mitre.org/data/definitions/121.html
- https://cwe.mitre.org/data/definitions/119.html
