Featured image of post CVE-2025-7881
Controle De Acesso Quebrado Moderado Mercusys Securança WebApp

CVE-2025-7881

Controle de Acesso Quebrado

CVE-2025-7881: Bypass de Autenticação na Redefinição de Senha

Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2025-7881

Resumo

Em sessões autenticadas, é possível ignorar completamente o fluxo de trabalho de alteração de senha sem saber a senha atual do administrador. No Mercusys MW301R, o método oficial de recuperação de uma senha esquecida é realizar uma redefinição de fábrica — o que requer acesso físico — ou, em uma sessão válida, fornecer a senha existente. O bypass descoberto permite que um invasor já autenticado intercepte a solicitação HTTP e simplesmente modifique o parâmetro de código para invocar o endpoint de redefinição diretamente. Isso permite que a senha do administrador seja alterada remotamente, sem qualquer interação física com o dispositivo ou conhecimento da credencial anterior.

Detalhes

  1. Acesse a interface web do roteador navegando até http://192.168.1.1/ e efetue login com a senha de administrador.
    Observação: Se a senha for esquecida, o único método de recuperação é uma redefinição de fábrica usando o botão físico Reset (mantenha-o pressionado até que todos os LEDs acendam).
  2. Enquanto estiver conectado, execute qualquer ação que acione uma solicitação POST com os parâmetros code= e id= (por exemplo, keepalive ou verificação de status) e intercepte-a usando um proxy para capturar um ID de sessão válido.
  3. Modifique a solicitação interceptada alterando code= para code=5 e, em seguida, encaminhe a solicitação alterada para o roteador.
  4. Atualize a página em http://192.168.1.1/ no seu navegador.
  5. A interface agora solicitará uma nova senha sem solicitar a atual. Defina e confirme sua nova senha para redefini-la remotamente.

PoC

Video PoC

https://youtu.be/-mlmTZ-3PzM

Impacto

A falta de validação de sessão neste endpoint pode levar a vários riscos de segurança:

  • Exposição de Dados Não Autorizada: Usuários não autenticados podem enumerar ou recuperar dados internos confidenciais.
  • Escalonamento de Privilégios: Invasores podem acessar ou inferir informações destinadas apenas a usuários autorizados.
  • Divulgação de Informações: Lógica de negócios e IDs internos (como funções ou permissões de usuário) podem ser vazados.
  • Suporte de Reconhecimento: Facilita o mapeamento de estruturas de backend para ataques mais direcionados.

Referência

https://github.com/RaulPazemecxas/PoCVulDb/blob/main/CVE-2025-7881.md

Encontrado por:

Raul Pazemécxas

Por: CVE-Hunters

© 2020 - 2025 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy