آسیبپذیری CVE-2025-8627 با شدت بالا (امتیاز 8.7 از 10) در دستگاه هوشمند TP-Link KP303 Smartplug شناسایی شده است. این نقص امنیتی به مهاجم اجازه میدهد بدون احراز هویت، دستورات پروتکلی خاصی را به دستگاه ارسال کند که میتواند منجر به خاموش شدن ناخواسته دستگاه و نشت اطلاعات حساس شود. این آسیبپذیری با پیچیدگی پایین (AC:L) از طریق شبکه مجاور (AV:A) قابل بهرهبرداری است و مهاجم بدون نیاز به احراز هویت (AT:N)، مجوز دسترسی (PR:N) یا تعامل با کاربر (UI:N) میتواند حمله کند. این نقص منجر به افشای اطلاعات حساس (VC:H)، آسیب به تمامیت دادهها (VI:H) و اختلال در دسترسپذیری (VA:H) میشود، اما تأثیری بر سیستمهای زنجیرهای ندارد (SC:N/SI:N/SA:N).
محصولات آسیبپذیر
-
نسخههای قبل از 1.1.0 از TP-Link KP303 (US) Smartplug
توصیههای امنیتی
- بهروزرسانی Firmware دستگاه به آخرین نسخهی منتشرشده
- محدودسازی دسترسی شبکهای به دستگاه با تنظیمات فایروال یا روتر
- بررسی رفتار شبکه برای شناسایی دستورات مشکوک
- بررسی لاگهای دستگاه و آگاهسازی کاربران نسبت به تهدیدات IoT
منبع خبر:
- 29