TP-Link修補家用路由器產品非授權存取、指令注入等高風險漏洞
漏洞概述
TP-Link本週發布安全更新,修補家用路由器Archer系列部分機種的非授權存取、指令注入等4項高風險漏洞。
關鍵漏洞細節
- CVE-2026-15518:為指令注入漏洞,位於無線控制CLI路徑,攻擊者可透過惡意指令執行未授權操作。
- CVE-2026-15519:為指令注入漏洞,位於數據機管理CLI路徑,同樣因對輸入指令處理不當,導致攻擊者可執行惡意指令。
- CVE-2025-15517(CVSS風險值8.6):為HTTP伺服器端點的授權繞過漏洞,因HTTP Server欠缺對特定CGI端點的驗證檢查,使經過驗證的使用者得以執行未經驗證行為,例如上傳韌體或進行高權限配置操作。
- 其他漏洞:包括遠端攻擊者可觸發阻斷服務狀況及遠端執行任意程式碼的漏洞,涉及敏感資訊洩露與作業系統指令注入。
影響範圍與建議
影響範圍涵蓋TP-Link Archer BE230 v1.2等家用Wi-Fi 7路由器,以及多個系列的家用路由器產品。
TP-Link已識別相關漏洞並推出韌體更新,強烈建議用戶立即更新至最新韌體以解決風險。