De kwetsbaarheid CVE-2025-7572 treft verschillende routers van LB-LINK, waaronder de BL-WR9000. Door een probleem in de functie bs_GetHostInfo binnen /cgi-bin/lighttpd.cgi, kunnen ongeautoriseerde gebruikers essentiële informatie verkrijgen.
Deze kwetsbaarheid maakt gebruik van improper access controls en informatieonthulling, waardoor aanvallers op afstand toegang kunnen krijgen zonder in te loggen. Kwetsbare versies omvatten tot versie 20250702 van meerdere LB-LINK modellen.
Overzicht
Deze kritieke kwetsbaarheid heeft een CVSS score van 6.9 en wordt gekenmerkt als gemiddeld kritiek. Met de kwetsbaarheid kunnen aanvallers via het netwerk zonder gebruikersinteractie toegang krijgen tot gevoelige informatie.
- Score CVSS v4.0: 6.9
- Score CVSS v3.1: 5.3
- De kwetsbare functie:
bs_GetHostInfo - Bibliotheek:
libblinkapi.so
Bronnen
- VDB-316270 | LB-LINK BL-WR9000 lighttpd.cgi bs_GetHostInfo information disclosure
- Submit #608009 | Exposure
- Proof of concept op GitHub
Vraag en Antwoord
Wat is CVE-2025-7572?
Een kritieke kwetsbaarheid in veelgebruikte LB-LINK routers die kan leiden tot informatieonthulling.
Welke systemen zijn kwetsbaar voor CVE-2025-7572?
Routers van LB-LINK, modellen: BL-AC1900, BL-AC2100_AZ3, BL-AC3600, BL-AX1800, BL-AX5400P en BL-WR9000.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er geen reactie of patch van de leverancier bekend.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder uw weten toegang krijgen tot kritieke netwerkgegevens.
