TP-Link Deco BE25의 명령어 삽입 및 경로 탐색 취약점에 대한 보안 권고 (CVE-2026-0654, CVE-2026-0655 및 CVE-2026-22229)
289 취약점 및 영향 설명:
CVE-2026-0654: 명령어 주입 취약점
관리 웹 인터페이스의 부적절한 입력 처리로 인해 조작된 입력이 OS 명령의 일부로 실행될 수 있습니다. 인증된 인접 공격자는 조작된 설정 파일을 통해 임의의 명령을 실행할 수 있으며, 이는 장치의 기밀성, 무결성 및 가용성에 영향을 미칩니다.
CVSS v4.0 점수: 8.5/고위험
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
CVE-2026-0655: 경로 탐색 취약점
웹 모듈의 제한된 디렉터리로 경로명을 부적절하게 제한하는('경로 탐색') 취약점으로 인해 인증된 인접 공격자가 임의의 파일을 읽거나 서비스 거부(DoS)를 유발할 수 있습니다.
CVSS v4.0 점수: 6.9/중간
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:H/SC:N/SI:N/SA:L
CVE-2026-22229 (기존 공개 취약점)
이전에 Archer BE230의 인증된 명령어 삽입 취약점(CVE-2026-0630, CVE-2026-0631, CVE-2026-22221-22227, CVE-2026-22229)에 대한 보안 권고사항에서 공개된 바 있으며 , TP-Link 제품에도 영향을 미칩니다. 취약점 세부 사항은 변경되지 않았으며, 원본 권고문을 참조하십시오.
영향을 받는 제품/버전 및 수정된 버전:
|
영향을 받는 제품 |
영향을 받는 버전 |
|
Deco BE25 v1.0 |
<= 1.1.1 빌드 20250822 |
권장 사항:
영향을 받는 장치를 보유한 사용자는 다음 조치를 취할 것을 강력히 권장합니다:
- 취약점을 해결하려면 아래 링크로 이동하여 최신 펌웨어 버전으로 업데이트하십시오:
감사의 말씀
caprinuxx, jro, sunshinefactory 님께 이 문제를 책임감 있게 보고해 주신 데 대해 감사드립니다.
주의사항:
상기 권고 조치를 실행하지 않으면 해당 취약점이 지속될 수 있습니다. 이 공지사항의 권고 조치를 따르지 않아 발생하는 결과의 책임은 TP-Link가 아닌 사용자에게 귀속됩니다.
해당 FAQ가 유용했나요?
여러분의 의견은 사이트 개선을 위해 소중하게 사용됩니다.