Déclaration sur l'exécution de commandes LAN sur Archer C5400X (CVE-2024-5035)

TP-Link a pris note des rapports concernant CVE-2024-5035. Nous avons donné la priorité à la résolution de ce problème et corrigé la faiblesse du code source avant sa divulgation publique.

Après une analyse approfondie du code source interne (y compris un examen approfondi du chemin d'appel de fonction), nous avons déterminé que CVE-2024-5035 est davantage une faiblesse du code source qu'une vulnérabilité LAN disponible avec une killchain spécifique. En tant que telle, la divulgation du CVE-2024-5035 n’augmente pas les risques de sécurité des informations dans le cadre d’une utilisation quotidienne.

TP-Link prend très au sérieux les failles de sécurité et les traite activement dès réception de la notification. Nous avons publié le firmware Archer C5400X_V1_1.1.7 Build 20240510 sur le site officiel et avons transféré le firmware sur les appareils des clients avant que CVE-2024-5035 ne soit divulgué publiquement . L'Archer C5400X recevra automatiquement des notifications de mise à jour dans l'interface d'administration Web, application Tether.

TP-Link vous recommande fortement de télécharger et de mettre à jour le dernier micrologiciel pour le modèle de produit dès que possible.

Clause de non-responsabilité

La vulnérabilité persistera si vous ne suivez pas toutes les actions recommandées. TP-Link ne peut assumer aucune responsabilité pour les conséquences qui auraient pu être évitées en suivant les recommandations de cette déclaration.