- شناسه CVE-2025-9356 :CVE
- CWE-121, CWE-119 :CWE
- yes :Advisory
- منتشر شده: آگوست 22, 2025
- به روز شده: آگوست 22, 2025
- امتیاز: 8.8
- نوع حمله: Stack-based Buffer Overflow
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: Linksys
- محصول: RE6250
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری سرریز بافر مبتنی بر پشته (Stack-Based Buffer Overflow) در روترهای Linksys مدلهای RE6250، RE6300، RE6350، RE6500، RE7000 و RE9000 شناسایی شده است. این ضعف امنیتی در تابع inboundFilterAdd از فایل /goform/inboundFilterAdd رخ می دهد و با دستکاری پارامتر ruleName منجر به سریز بافر و احتمالاً اجرای کد دلخواه می شود.
توضیحات
آسیبپذیری CVE-2025-9356 از نوع سرریز بافر مبتنی بر پشته (مطابق با CWE-121) و خرابی حافظه (مطابق با CWE-119) در رابط وب روترهای Linksys است. این آسیب پذیری در تابع inboundFilterAdd از فایل /goform/inboundFilterAdd رخ میدهد، جایی که پارامتر ruleName بدون بررسی طول ورودی مستقیماً در یک متغیر لوکال روی پشته کپی میشود. اگر ورودی بیش از حد طولانی باشد، بافر پشته سرریز شده و میتواند آدرس بازگشت تابع را بازنویسی کند. این موضوع امکان اجرای کد دلخواه را فراهم میکند.
این حمله از راه دور قابل اجرا بوده، نیازمند دسترسی سطح پایین است، بدون تعامل کاربر انجام میشود و پیچیدگی پایینی دارد. اما پیامدهای آن شامل دسترسی به دادههای حساس، تغییر تنظیمات و اختلال در دسترس پذیری دستگاه است.
کد اثبات مفهومی (PoC) منتشر شده شامل ارسال درخواست HTTP POST با پارامتر ruleName بیش از حد طولانی (مانند رشتهای از کاراکترهای “a”) به مسیر /goform/inboundFilterAddاست که باعث خرابی روتر یا اجرای کد مخرب میشود. تاکنون شرکت Linksys هیچ گونه به روزرسانی یا پچ امنیتی منتشر نکرده است.
CVSS
| Score | Severity | Version | Vector String |
| 8.7 | HIGH | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P |
| 8.8 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R |
| 8.8 | HIGH | 3.0 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R |
| 9.0 | — | 2.0 | AV:N/AC:L/Au:S/C:C/I:C/A:C/E:POC/RL:ND/RC:UR |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE6250 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE6300 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE6350 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE6500 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE7000 |
| affected at 1.0.013.001
affected at 1.0.04.001 affected at 1.0.04.002 affected at 1.1.05.003 affected at 1.2.07.001 |
RE9000 |
نتیجه گیری
با توجه به شدت بالای این آسیبپذیری و عدم انتشار پچ رسمی از سوی Linksys، ضروری است که مدیران شبکه و کاربران اقدامات کاهش ریسک را در کوتاهترین زمان ممکن اجرا کنند. در شرایطی که امکان توقف استفاده از روترهای آسیبپذیر وجود دارد، بهترین راهکار کنار گذاشتن این تجهیزات تا زمان انتشار بهروزرسانی امنیتی است؛ اما در صورت اجبار به ادامه بهرهبرداری، باید دسترسی خارجی به رابط مدیریت وب غیرفعال شده و تنها به شبکه داخلی یا آدرسهای IP مورد اعتماد محدود شود. همچنین، پیکربندی دقیق فایروال و سامانههای تشخیص یا جلوگیری از نفوذ (IDS/IPS) برای مسدودسازی درخواستهای مشکوک بهویژه در مسیر /goform/inboundFilterAdd اهمیت بالایی دارد. استفاده از ابزارهای نظارتی و لاگینگ پیشرفته جهت پایش رفتارهای غیرعادی و تحلیل ترافیک شبکه، به همراه اعمال سیاستهای امنیتی نظیر تقسیمبندی شبکه، کاهش دسترسی حسابهای مدیریتی، بهکارگیری رمزهای عبور قوی و احراز هویت چندعاملی، از دیگر اقدامات حیاتی در این زمینه محسوب میشوند. در کنار این تدابیر، بررسی مستمر اطلاعیههای رسمی Linksys و منابع معتبر امنیتی برای دریافت بهروزرسانیها یا راهکارهای موقت و در صورت امکان جایگزینی دستگاههای آسیبپذیر با مدلهای ایمنتر توصیه میشود. پیادهسازی این اقدامات به شکل یکپارچه، ریسک بهرهبرداری را به حداقل رسانده و علاوه بر مقابله با تهدید فعلی، امنیت کلی زیرساخت شبکه را نیز ارتقا خواهد داد.
امکان استفاده در Mitre Attack
- Tactic (TA0001) – Initial Access
Sub-technique (T1190) – Exploit Public-Facing Application
مهاجم میتواند از راه دور درخواست HTTP به رابط وب مدیریتی روتر (مسیر /goform/inboundFilterAdd) ارسال کند. با قراردادن رشته بیشازحد طولانی در پارامتر ruleName، سرریز بافر ایجاد میشود و امکان اجرای کد مخرب روی دستگاه فراهم میگردد. - Tactic (TA0002) – Execution
Sub-technique (T1203) – Exploitation for Client Execution
با سوءاستفاده از سرریز بافر، مهاجم قادر است کد دلخواه خود را در فضای حافظه دستگاه اجرا کند و کنترل فرآیند را به دست گیرد. - Tactic (TA0004) – Privilege Escalation
Sub-technique (T1068) – Exploitation for Privilege Escalation
در صورت موفقیتآمیز بودن بهرهبرداری، امکان بازنویسی آدرس بازگشت و اجرای کد با سطح دسترسی بالاتر روی سیستمعامل تعبیهشدهی روتر وجود دارد. - Tactic (TA0005) – Defense Evasion
Sub-technique (T1027) – Obfuscated Files or Information
مهاجم میتواند دادههای ارسالی (payload) را بهگونهای پنهانسازی یا تکهتکه کند که در ظاهر مانند یک درخواست HTTP عادی به نظر برسد و از شناسایی توسط IDS/IPS عبور کند. - Tactic (TA0040) – Impact
Sub-technique (T1499) – Endpoint Denial of Service
اجرای موفق اکسپلویت میتواند باعث Crash شدن روتر یا اختلال در سرویسدهی آن شود و در نتیجه به یک حمله انکار سرویس (DoS) منجر گردد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-9356
- https://www.cvedetails.com/cve/CVE-2025-9356/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9356
- https://vuldb.com/?submit.631528
- https://vuldb.com/?id.321059
- https://vuldb.com/?ctiid.321059
- https://github.com/wudipjq/my_vuln/blob/main/Linksys/vuln_24/24.md
- https://github.com/wudipjq/my_vuln/blob/main/Linksys/vuln_24/24.md#poc
- https://nvd.nist.gov/vuln/detail/CVE-2025-9356
- https://cwe.mitre.org/data/definitions/121.html
- https://cwe.mitre.org/data/definitions/119.html
