- شناسه CVE-2025-9938 :CVE
- CWE-121, CWE-119 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 3, 2025
- به روز شده: سپتامبر 3, 2025
- امتیاز: 8.8
- نوع حمله: Stack-based Buffer Overflow
- اثر گذاری: Unknown
- حوزه: تجهیزات شبکه و امنیت
- برند: D-link
- محصول: DI-8400
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) در روتر D-Link DI-8400 نسخه 16.07.26A1 شناسایی شده است. این ضعف امنیتی در تابع yyxz_dlink_asp مربوط به فایل /yyxz.asp قرار دارد و میتواند به مهاجم اجازه دهد از راه دور کد مخرب اجرا کند، به اطلاعات حساس دسترسی پیدا کند یا منجر به شرایط انکار سرویس (DoS) شود.
توضیحات
آسیبپذیری CVE-2025-9938 در روتر D-Link DI-8400 با نسخه فریمور 16.07.26A1 شناسایی شده است. این ضعف امنیتی ناشی از سرریز بافر مبتنی بر پشته (مطابق با CWE-121) و خرابی حافظه (مطابق با CWE-119) در تابع yyxz_dlink_asp مربوط به مسیر /yyxz.asp در سرویس jhttpd است.
مهاجمان با دسترسی کاربری محدود میتوانند با ارسال یک درخواست HTTP GET (پروتکل استاندارد برای درخواست داده از وب سرور) شامل پارامتر id با طولی بیش از ظرفیت بافر پشته، از این ضعف بهرهبرداری کنند.
علت اصلی این آسیبپذیری در استفاده ناامن از تابع sprintf برای ترکیب رشته “yyxz_” با مقدار ورودی id بدون بررسی طول بافر مقصد (_DWORD v14[6]) است. این شرایط باعث میشود دادههای حیاتی در پشته یا آدرس بازگشت تابع بازنویسی شود و در نتیجه امکان اجرای کد دلخواه، تصرف کامل دستگاه، سرقت اطلاعات حساس یا ایجاد شرایط انکار سرویس (DoS) فراهم گردد.
شدت این آسیب پذیری بالا بوده، از طریق شبکه قابل بهرهبرداری است و نیازی به تعامل کاربر ندارد، اما نیازمند احراز هویت اولیه می باشد. با این حال، استفاده گسترده از رمزهای عبور پیشفرض مانند “admin” (با هش MD5: 21232F297A57A5A743894A0E4A801FC3) در بسیاری از دستگاههای پیکربندینشده، ریسک سوءاستفاده را بهطور قابل توجهی افزایش میدهد.
یک کد اثبات مفهومی (PoC) عمومی منتشر شده است که نشان می دهد با ارسال درخواست GET شامل رشتهای طولانی به /yyxz.asp ، میتوان منجر به اختلال در سرویس ، ایجاد خطای Segmentation Fault یا عملکردهای غیرعادی در محیط شبیهسازی QEMU شد. این آسیب پذیری تاثیر قابل توجهی بر محرمانگی، یکپارچگی و در دسترس پذیری دارد. در حال حاضر شرکت D-Link هیچگونه بهروزرسانی امنیتی یا پچ رسمی برای رفع این آسیبپذیری منتشر نکرده است.
CVSS
| Score | Severity | Version | Vector String |
| 8.7 | HIGH | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P |
| 8.8 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R |
| 8.8 | HIGH | 3.0 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R |
| 9.0 | — | 2.0 | AV:N/AC:L/Au:S/C:C/I:C/A:C/E:POC/RL:ND/RC:UR |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 16.07.26A1 | DI-8400 |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که روترهای D-Link را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Product |
| 1,150 | D-Link routers |
نتیجه گیری
با توجه به شدت بالای این آسیب پذیری و عدم انتشار پچ رسمی از سوی D-Link، اجرای اقدامات زیر برای کاهش ریسک ضروری است:
- جایگزینی یا بهروزرسانی تجهیزات: در صورت امکان، استفاده از مدلهای جدیدتر یا تجهیزات دارای پشتیبانی امنیتی فعال پیشنهاد میشود.
- حذف یا تغییر رمز عبور پیشفرض: رمزهای پیشفرض مانند admin باید فوراً تغییر داده شوند و از رمزهای قوی و منحصر به فرد استفاده شود.
- محدودسازی دسترسی مدیریتی: دسترسی به پنل مدیریت وب مانند /yyxz.asp، تنها از طریق شبکه داخلی امن یا VPN مجاز باشد و از دسترسی مستقیم اینترنتی جلوگیری شود.
- استفاده از فایروال و سیستمهای تشخیص نفوذ (IDS/IPS): برای شناسایی و مسدود کردن درخواستهای مشکوک بهویژه رشتههای غیرعادی در پارامتر id، استفاده از فایروال و سیستم های تشخیص نفوذ ضروری است.
- نظارت و لاگگیری فعال: لاگهای سیستم باید بهطور مستمر بررسی شوند تا تلاشهای مشکوک برای سوءاستفاده شناسایی و مدیریت شوند.
- بازنویسی ایمن کد (برای توسعهدهندگان): در نسخههای آینده لازم است بهجای توابع ناامن مانند sprintf، از توابع ایمنتر نظیر snprintf همراه با کنترل طول ورودی استفاده شود تا از بروز سرریز بافر جلوگیری گردد.
اجرای این اقدامات، علاوه بر کاهش احتمال بهرهبرداری از این آسیبپذیری، سطح امنیت کلی شبکه سازمان را نیز بهطور چشمگیری افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
- Initial Access (TA0001)
T1190 – Exploit Public-Facing Application
مهاجم از طریق ارسال درخواست HTTP GET مخرب به مسیر /yyxz.asp در سرویس jhttpd، سرریز بافر مبتنی بر پشته ایجاد میکند. این حمله از راه دور و از طریق شبکه امکانپذیر است، هرچند نیازمند احراز هویت اولیه (که غالباً با رمز پیشفرض دور زده میشود) است. - Execution (TA0002)
T1059 – Command and Scripting Interpreter
در صورت موفقیتآمیز بودن بهرهبرداری، مهاجم میتواند اجرای کد دلخواه در سطح سیستمعامل دستگاه (روتر) را به دست گیرد. - Privilege Escalation (TA0004)
T1068 – Exploitation for Privilege Escalation
بازنویسی آدرس بازگشت تابع در اثر سرریز بافر به مهاجم اجازه میدهد دسترسی خود را از کاربر محدود به سطح root یا سطح سیستمی ارتقا دهد. - Defense Evasion (TA0005)
T1562 – Impair Defenses
مهاجم پس از اجرای موفق کد میتواند مکانیزمهای امنیتی روتر را غیرفعال کرده یا لاگها را پاک کند تا حضور خود را مخفی نگه دارد. - Impact (TA0040)
T1499 – Endpoint Denial of Service / T1485 – Data Destruction
این آسیبپذیری میتواند منجر به ایجاد اختلال سرویس Segmentation Fault یا DoS، سرقت دادههای حساس، تغییر پیکربندی دستگاه یا تصرف کامل آن شود. تأثیر مستقیم بر محرمانگی، یکپارچگی و در دسترسپذیری دارد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-9938
- https://www.cvedetails.com/cve/CVE-2025-9938/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9938
- https://vuldb.com/?submit.643446
- https://vuldb.com/?id.322340
- https://vuldb.com/?ctiid.322340
- https://github.com/ZZ2266/.github.io/tree/main/Dlink/DI-8400/yyxz.asp
- https://github.com/ZZ2266/.github.io/tree/main/Dlink/DI-8400/yyxz.asp#proof-of-concept-poc
- https://nvd.nist.gov/vuln/detail/CVE-20,25-9938
- https://cwe.mitre.org/data/definitions/121.html
- https://cwe.mitre.org/data/definitions/119.html
