보안 권고: TP-Link WA850RE, WA940N 및 WR941ND에서 발견된 취약점 (CVE-2025-14737, CVE-2025-14738, CVE-2025-14739)

중요 정보:

해당 기기는 수명 종료(EOL) 상태에 도달했습니다. 따라서 '권장 사항' 섹션을 주의 깊게 검토해 주십시오.

취약점 설명:

TP-Link WA850RE (httpd 모듈):

명령어 주입 취약점으로 인해 인증된 인접 공격자가 임의의 명령어를 주입할 수 있습니다.

부적절한 인증 취약점으로 인해 인증되지 않은 공격자가 설정 파일을 다운로드할 수 있습니다.

TP-Link WR940N 및 WR941ND:

초기화되지 않은 포인터 접근 취약점으로 인해 로컬의 인증되지 않은 공격자가 'root' 사용자 권한으로 DoS 공격을 수행하고 잠재적으로 임의 코드 실행이 가능합니다.

영향:

TP-Link WA850RE:

명령어 삽입 취약점은 인증된 인접 공격자가 루트 권한으로 임의의 명령어를 삽입할 수 있게 합니다. 이 문제는 의 인증되지 않은 설정 정보 유출 취약점과 결합될 경우 더욱 악화됩니다.

부적절한 인증 취약점으로 인해 인증되지 않은 공격자가 설정 파일을 다운로드할 수 있습니다. 이 파일의 검색은 관리자 자격증명 및 기타 민감한 정보의 노출로 이어집니다.

WA850RE 명령어 주입 취약점

CVSS v4.0 점수: 7.1 / 고위험

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P

WA850RE 인증되지 않은 설정 정보 유출 취약점

CVSS v4.0 점수: 5.7 / 중간

CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:P

TP-Link WA940N 및 WR941ND에서:

초기화되지 않은 포인터 취약점을 악용하면 인증되지 않은 로컬 공격자가 장치를 중단시킬 수 있으며(DoS), 심각한 경우 루트 권한으로 임의의 코드를 실행하여 시스템 전체를 손상시킬 수 있습니다.

CVSS v4.0 점수: 6.8 /중간

CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P

영향을 받는 제품/버전 및 수정 사항:

권고 사항:

영향을 받는 장치를 보유한 사용자는 다음 조치를 취할 것을 강력히 권장합니다:

1. 이러한 취약점을 해결하려면 최신 펌웨어 버전으로 다운로드하여 업데이트하십시오:

https://www.tp-link.com/kr/support/download/tl-wa850re/v2/#Firmware

https://www.tp-link.com/kr/support/download/tl-wa850re/v3/#Firmware

https://www.tp-link.com/kr/support/download/tl-wr941nd/#Firmware

https://www.tp-link.com/kr/support/download/tl-wr940n/v5/#Firmware

면책 조항:

상기 권장 조치를 취하지 않을 경우, 본 취약점 문제는 지속될 수 있습니다. 이 공지사항의 권고 조치를 따르지 않아 발생하는 결과의 책임은 TP-Link가 아닌 사용자에게 귀속됩니다.

 

이 문서에는 기계 번역이 적용되었으며, 정확한 내용을 확인하려면 원본 영문 문서를 참고하시기 바랍니다.