آسیبپذیری CVE-2025-10392 با شدت 8.9 (Critical) در تجهیزات Mercury KM08-708H GiGA WiFi Wave2 شناسایی شده است. این نقص امنیتی در مؤلفه HTTP Header Handler رخ میدهد و ناشی از سرریز پشته (Stack-based Buffer Overflow) هنگام پردازش آرگومان Host در هدرهای HTTP است.
این آسیبپذیری به مهاجم امکان میدهد از راه دور و بدون نیاز به احراز هویت یا تعامل با کاربر، کد مخرب اجرا کند. حمله از طریق شبکه انجام میشود (AV:N)، دارای پیچیدگی پایین (AC:L)، بدون نیاز به شرایط خاص (AT:N)، بدون مجوز (PR:N) و بدون تعامل با کاربر (UI:N) است.
تأثیرات:
- محرمانگی (C) — بالا (H)
- یکپارچگی (I) — بالا (H)
- دسترسپذیری (A) — بالا (H)
- تأثیرات ثانویه: ندارد (SC:N / SI:N / SA:N)
- احتمال بهرهبرداری: عمومی و ممکن است (E:P)
محصولات آسیبپذیر
-
تجهیزات Mercury KM08-708H GiGA WiFi Wave2 با نسخهی نرمافزاری 1.1.14
توصیههای امنیتی
- بهروزرسانی فوری firmware دستگاه به نسخهای که شامل وصلهی امنیتی باشد.
- محدودسازی دسترسی به رابطهای مدیریتی از طریق شبکههای عمومی.
- نظارت بر ترافیک HTTP برای شناسایی درخواستهای مشکوک حاوی هدرهای دستکاریشده.
- آموزش تیمهای فنی دربارهی نحوهی شناسایی حملات سرریز پشته و واکنش سریع.
- اجرای تستهای امنیتی دورهای بر روی تجهیزات شبکه و IoT.
منبع خبر:
- 2