Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu routera WODESYS WD-R608U i koordynował proces ujawniania informacji.

Podatność CVE-2025-65007: W routerze WD-R608U (znanym również pod nazwą WDR122B V2.0 i WDR28) z powodu braku uwierzytelniania w module zmiany konfiguracji w endpoincie 'adm.cgi', nieuwierzytelniony atakujący może wykonać polecenia, w tym tworzenie kopii zapasowych, restart urządzenia oraz przywracanie urządzenia do ustawień fabrycznych.

Podatność CVE-2025-65008: W routerze WD-R608U (znanym również pod nazwą WDR122B V2.0 i WDR28) z powodu braku walidacji parametru 'langGet' w endpoincie 'adm.cgi', atakujący może wykonywać polecenia powłoki systemowej.

Podatność CVE-2025-65009: W routerze WD-R608U (znanym również pod nazwą WDR122B V2.0 i WDR28) hasło administratora jest przechowywane w pliku konfiguracyjnym w postaci zwykłego tekstu i może zostać uzyskane przez nieautoryzowanego użytkownika poprzez bezpośrednie odwołania do odpowiedniego zasobu.

Podatność CVE-2025-65010: W routerze WD-R608U (znanym również pod nazwą WDR122B V2.0 i WDR28) atakujący może zmienić hasło do panelu administratora bez autoryzacji. Podatność może być również wykorzystana po zakończeniu wstępnej konfiguracji.

Podatność CVE-2025-65011: W routerze WD-R608U (znanym również pod nazwą WDR122B V2.0 i WDR28) nieautoryzowany użytkownik może przeglądać pliki konfiguracyjne poprzez bezpośrednie odwołanie do odpowiedniego zasobu.

Producent został wcześnie poinformowany o tej podatności, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatność jedynie w wersji WDR28081123OV1.01 — inne wersje nie były testowane i również mogą być podatne.

Podziękowania

Za zgłoszenie podatności dziękujemy Wojciechowi Cybowskiemu.