TL-WR940N의 다중 운영체제 명령어 삽입 취약점 관련 보안 권고사항 (CVE-2026-11409 ~ CVE-2026-11410)
취약점 및 영향에 대한 설명:
TL-WR940N v6에서 여러 개의 인증된 사용자 대상 운영체제 명령어 삽입 취약점이 확인되었습니다. 해당 취약점은 WAN 설정 모듈의 일부 기능에서 사용자 입력값에 대한 검증이 충분히 이루어지지 않아 발생합니다.
이 취약점을 악용하려면 웹 관리 인터페이스에 대한 인증된 접근 권한이 필요합니다. 공격에 성공할 경우 높은 권한으로 임의의 시스템 명령을 실행할 수 있으며, 민감한 정보에 접근하거나 시스템 설정을 변경하고 장치의 정상적인 동작을 방해할 수 있습니다. 이러한 영향은 장치의 기밀성, 무결성 및 가용성에 영향을 미칠 수 있습니다.
CVE-2026-11409: IPv6 PPPoE 설정에서의 OS 명령어 주입
사용자 입력값에 대한 검증이 적절히 이루어지지 않아 IPv6 PPPoE 설정 처리 기능에 인증된 사용자 대상 운영체제 명령어 삽입 취약점이 존재합니다. 해당 입력값이 시스템 명령 실행 과정에 포함될 수 있어 취약점이 발생합니다.
CVE-2026-11410: BigPond Cable(BPA) 설정의 OS 명령어 주입
사용자 입력값에 대한 검증이 충분히 이루어지지 않아 BigPond Cable(BPA) WAN 설정 모듈에 인증된 사용자 대상 운영체제 명령어 삽입 취약점이 존재합니다. 특정 매개변수가 시스템 명령 생성 과정에 사용될 수 있어 취약점이 발생합니다
위에서 언급된 CVE 취약점들은 모두 동일한 심각도 등급을 공유합니다.
CVSS v4.0 점수: 8.5/ 고위험
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
영향을 받는 제품/버전 및 수정된 버전:
|
영향을 받는 제품 |
하드웨어 버전 |
수정된 버전 |
|
TL-WR940N |
V6 |
V6_260528 |
중요 정보:
이 장치는 수명 종료(EOL) 단계에 도달했으므로, ‘권장 사항’ 섹션을 주의 깊게 검토해 주십시오.
권장 사항:
해당 기기를 사용 중인 사용자는 다음 조치를 취할 것을 강력히 권장합니다:
- 지침에 따라 최신 펌웨어 버전으로 업데이트하여 취약점을 해결하십시오:
- 지속적인 보호를 위해 자동 업데이트를 받을 수 있도록 기기를 당사가 지원하는 모델 중 하나로 업그레이드하십시오.
- 관리자 권한을 제한하십시오: 웹 관리 인터페이스에 대한 접근을 신뢰할 수 있는 네트워크로만 제한하십시오.
주의 사항:
상기 권고 조치를 실행하지 않으면 해당 취약점이 지속될 수 있습니다. 이 공지사항의 권고 조치를 따르지 않아 발생하는 결과의 책임은 TP-Link가 아닌 사용자에게 귀속됩니다.
더 알아보기
해당 FAQ가 유용했나요?
여러분의 의견은 사이트 개선을 위해 소중하게 사용됩니다.
_normal_20230201014412u.png)
TP-Link Community
Still need help? Search for answers, ask questions, and get help from TP-Link experts and other users around the world.