خانه » CVE-2025-9727
هشدار‌های سایبری

CVE-2025-9727

D-Link DIR-816L Soap.Cgi Soapcgi_main Os Command Injection

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 8 بازدید
هشدار سایبری CVE-2025-9727
  • شناسه CVE-2025-9727 :CVE
  • CWE-78, CWE-77 :CWE
  • yes :Advisory
  • منتشر شده: آگوست 31, 2025
  • به روز شده: آگوست 31, 2025
  • امتیاز: 6.3
  • نوع حمله:  OS Command Injection
  • اثر گذاری: Unknown
  • حوزه: تجهیزات شبکه و امنیت
  • برند: D-link
  • محصول: DIR-816L
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

آسیب‌پذیری در روتر D-Link DIR-816L با نسخه فریمور 206b01 شناسایی شده است که به دلیل ضعف در تابع soapcgi_main فایل soap.cgi، امکان تزریق دستورات سیستم‌عامل (OS Command Injection) را فراهم می‌کند. بهره‌برداری از این آسیب‌پذیری به مهاجمان احراز هویت‌شده اجازه می‌دهد تا به‌صورت از راه دور، دستورات دلخواه خود را روی دستگاه اجرا کنند.

توضیحات

آسیب‌پذیری CVE-2025-9727 در روتر D-Link DIR-816L با نسخه فریم ور 206b01 شناسایی شده است. این ضعف در تابع soapcgi_main فایل soap.cgi قرار دارد و امکان تزریق دستورات سیستم‌عامل (مطابق با CWE-78 و CWE-77) را فراهم می‌کند. مشکل زمانی رخ می‌دهد که پارامتر service در درخواست‌های HTTP به‌درستی اعتبارسنجی نشده و از طریق زنجیره‌ای از متغیرها (v3->v9->v10->v14) در تابع snprintf ادغام شده و مستقیماً به تابع system برای اجرا ارسال می‌شود.

این آسیب‌پذیری به مهاجمان با سطح دسترسی پایین اجازه می‌دهد تا بدون نیاز به تعامل کاربر، دستورات دلخواه سیستم‌عامل را روی روتر اجرا کنند و در نتیجه محرمانگی، یکپارچگی و دسترس‌پذیری دستگاه را تهدید نمایند.

یک کد اثبات مفهومی (PoC) برای این آسیب‌پذیری منتشر شده است که با ارسال درخواست HTTP POST، پارامتر service را دستکاری کرده و دستورات مخرب مانند ping را روی سیستم اجرا می‌کند.

این ضعف تنها نسخه 206b01 روتر DIR-816L را تحت تأثیر قرار می‌دهد و از آنجا که این محصول در وضعیت پایان دوره پشتیبانی (EOL) قرار دارد، D-Link هیچ پچ یا به‌روزرسانی رسمی برای رفع آن ارائه نکرده است.

CVSS

Score Severity Version Vector String
5.3 MEDIUM 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P
6.3 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R
6.3 MEDIUM 3.0 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R
6.5 2.0 AV:N/AC:L/Au:S/C:P/I:P/A:P/E:POC/RL:ND/RC:UR

 لیست محصولات آسیب پذیر

Versions Product
affected at 206b01 DIR-816L

 نتیجه گیری

با توجه به اینکه این دستگاه در وضعیت پایان دوره پشتیبانی (EOL) قرار دارد و هیچ پچ رسمی توسط D-Link ارائه نشده است، توصیه‌های زیر برای کاهش ریسک و حفظ امنیت محیط عملیاتی ارائه می‌شود:

  • تعویض دستگاه: بهترین اقدام، جایگزینی روتر DIR-816L با دستگاه‌های جدیدتر و تحت پشتیبانی است که آسیب‌پذیری‌های شناخته‌شده در آن‌ها برطرف شده‌اند.
  • محدودسازی دسترسی شبکه‌ای: دسترسی به رابط مدیریت HTTP/HTTPS روتر را محدود کرده و تنها به شبکه‌های داخلی و کاربران مجاز دسترسی دهید.
  • قطع اتصال اینترنت برای دستگاه‌های آسیب‌پذیر: در صورت عدم امکان جایگزینی فوری، دستگاه‌های آسیب‌پذیر را از شبکه اینترنت جدا کنید تا احتمال بهره‌برداری از راه دور کاهش یابد.
  • مانیتورینگ و شناسایی فعالیت‌های مشکوک: نظارت بر ترافیک شبکه و لاگ‌های سیستم برای شناسایی درخواست‌های غیرعادی به مسیر /soap.cgiو پارامتر service انجام شود.
  • مستندسازی و آموزش کارکنان: اطمینان حاصل کنید که تیم امنیتی با ماهیت آسیب‌پذیری و روش‌های بهره‌برداری احتمالی آشنا باشد تا در صورت مشاهده فعالیت مشکوک واکنش سریع انجام شود.

با توجه به عدم انتشار به‌روزرسانی رسمی و ماهیت آسیب‌پذیری، اقدامات فوری شامل تعویض دستگاه یا محدودسازی دسترسی‌ها، تنها روش‌های مؤثر برای کاهش ریسک بهره‌برداری هستند. اجرای توصیه‌های فوق می‌تواند احتمال سوءاستفاده را به حداقل برساند و امنیت محیط شبکه را حفظ کند.

امکان استفاده در تاکتیک های Mitre Attack

  • Execution (TA0002)
    T1059 – Command and Scripting Interpreter
    آسیب‌پذیری تزریق دستورات سیستم‌عامل به مهاجم اجازه می‌دهد تا دستورات دلخواه را از راه دور روی دستگاه هدف روتر D-Link DIR-816L اجرا کند. این اجرا از طریق ارسال پارامتر مخرب به تابع system  در فایل cgi  انجام می‌شود.
  • Persistence (TA0003)
    T1505 – Server Software Component
    مهاجم می‌تواند پس از اجرای دستورات، تغییراتی در تنظیمات یا اجزای نرم‌افزاری روتر ایجاد کند که باعث حفظ دسترسی بلندمدت او به دستگاه شود.
  • Privilege Escalation (TA0004)
    T1068 – Exploitation for Privilege Escalation
    اگر مهاجم سطح دسترسی محدودی داشته باشد، بهره‌برداری از این آسیب‌پذیری می‌تواند به افزایش دسترسی و اجرای کد با مجوزهای بالاتر در روتر منجر شود.
  • Discovery (TA0007)
    T1083 – File and Directory Discovery
    مهاجم می‌تواند ساختار فایل‌ها و تنظیمات حساس روتر را شناسایی کرده و اطلاعاتی برای بهره‌برداری‌های بیشتر جمع‌آوری کند.
  • Lateral Movement (TA0008)
    T1021 – Remote Services
    در صورت موفقیت، مهاجم ممکن است از طریق روتر به سایر دستگاه‌های متصل در شبکه محلی دسترسی پیدا کرده و به گسترش نفوذ خود بپردازد.
  • Impact (TA0040)
    T1499 – Endpoint Denial of Service (DoS)
    اجرای دستورات مخرب می‌تواند باعث ایجاد شرایط انکار سرویس در روتر شده و دسترسی قانونی کاربران به شبکه را مختل کند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-9727
  2. https://www.cvedetails.com/cve/CVE-2025-9727/
  3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9727
  4. https://vuldb.com/?submit.639698
  5. https://vuldb.com/?id.322016
  6. https://vuldb.com/?ctiid.322016
  7. https://github.com/scanleale/IOT_sec/blob/main/DIR-816L.pdf
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-9727

همچنین ممکن است دوست داشته باشید

CVE-2025-9752

CVE-2025-9669

CVE-2025-6911

CVE-2025-32023

CVE-2025-9679

CVE-2025-9441

CVE-2025-9660

CVE-2024-13987

CVE-2025-9602

CVE-2025-9443

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.