CVE-2025-9961

2 minute de lecture

Mis à jour : February 15, 2026

Exploitation de Vulnérabilité sur Routeurs TP-Link via CWMP

Une faille critique, identifiée sous la référence CVE-2025-9961, a été découverte dans les routeurs TP-Link, ciblant spécifiquement le binaire CWMP (CPE WAN Management Protocol). Cette vulnérabilité permet à un attaquant authentifié d’exécuter du code arbitraire à distance sur les appareils vulnérables.

L’exploitation est déclenchée par l’envoi de requêtes SOAP malformées. Il s’agit d’un débordement de tampon basé sur la pile au sein du processus CWMP. Les chercheurs en sécurité ont réussi à contourner la randomisation de l’espace d’adressage (ASLR) en forçant l’adresse de base de la bibliothèque C standard.

Une exploitation réussie confère à l’attaquant un contrôle total du routeur. Cela ouvre la porte à l’interception du trafic réseau, au lancement d’attaques sur le réseau local, ou à l’intégration de l’appareil dans un botnet. La technique d’exploitation courante implique une attaque de type “return-to-libc” (ret2libc) pour appeler la fonction system() avec une commande visant à télécharger et exécuter un binaire malveillant hébergé sur un serveur contrôlé par l’attaquant.

Points Clés :

Vecteur d’Attaque : Authentification sur un routeur TP-Link.
Protocole Affecté : CWMP (CPE WAN Management Protocol).
Mécanisme de Vulnérabilité : Débordement de tampon basé sur la pile (Stack-based buffer overflow) dans le processus CWMP.
Technique de Contournement : Brute-force de l’adresse de base de la bibliothèque C pour contourner l’ASLR.
Exploitation Courante : Utilisation de la technique ret2libc pour exécuter des commandes système.
Conséquences : Prise de contrôle totale du routeur, interception de trafic, attaques sur le réseau local, ajout à un botnet.

Vulnérabilité :

CVE : CVE-2025-9961
Type : Exécution de code à distance (RCE)
Composant Affecté : Binaire CWMP

Recommandations :

Bien que l’article ne détaille pas explicitement les recommandations, les actions usuelles dans ce type de scénario incluent :

Mise à jour du Firmware : Appliquer rapidement les correctifs de sécurité publiés par le fabricant (TP-Link) pour les routeurs concernés.
Segmentation Réseau : Si possible, isoler les appareils vulnérables ou limiter leur accès depuis des segments réseau moins fiables.
Surveillance : Surveiller les journaux des routeurs et du réseau pour détecter toute activité suspecte.
Renforcement de la Sécurité : Utiliser des mots de passe forts pour l’administration des routeurs et désactiver les services non essentiels.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-9961

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)