Уведомление о безопасности, касающееся уязвимостей в TP-Link WA850RE, WA940N и WR941ND (CVE-2025-14737, CVE-2025-14738, CVE-2025-14739)

Советы по безопасности

Дата последнего обновления: 12-19-2025 03:05:39 AM Number of views for this article

1101

Важная информация:

Срок службы этих устройств истек; поэтому, пожалуйста, внимательно ознакомьтесь с разделом «Рекомендации».

Описание уязвимостей:

TL-WA850RE (модуль httpd):

Уязвимость внедрения команд позволяет авторизованным злоумышленникам, находящимся рядом с авторизованным пользователем, внедрять произвольные команды.

Уязвимость, связанная с некорректной аутентификацией, позволяет неавторизованным злоумышленникам загрузить файл конфигурации.

ЕД-WR940N и TL-WR941ND:

Уязвимость, связанная с доступом к неинициализированному указателю, позволяет локальным неаутентифицированным злоумышленникам осуществлять DoS-атаки и потенциально выполнять произвольный код в контексте пользователя 'root'.

Последствия:

Для TL-WA850RE:

Уязвимость внедрения команд позволяет авторизованным злоумышленникам, находящимся рядом с авторизованным пользователем, внедрять произвольные команды с правами root. Эта проблема усугубляется в сочетании с утечкой конфигурации, вызванной уязвимостью раскрытия неаутентифицированной конфигурации.

Уязвимость, связанная с некорректной аутентификацией, позволяет неавторизованным злоумышленникам загрузить файл конфигурации. Получение этого файла приводит к раскрытию учетных данных администратора и другой конфиденциальной информации.

Уязвимость внедрения команд в TL-WA850RE

Оценка CVSS v4.0: 7.1 / Высокая

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P

Уязвимость, связанная с несанкционированным раскрытием конфигурации TL-WA850RE

Оценка CVSS v4.0: 5.7 / Средний уровень

CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:P

В моделях TL-WA940N и TL-WR941ND:

Использование уязвимости неинициализированного указателя позволяет локальным неавторизованным злоумышленникам вызвать сбой в работе устройства (DoS-атака) и, в тяжелых случаях, выполнить произвольный код с правами root, что приводит к полной компрометации системы.

Оценка CVSS v4.0: 6,8 / Средний уровень

CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P

Затронутые продукты/версии и исправления:

Модель

Связанные уязвимости

Затронутая версия

TL-WA850RE v2

TL-WA940N v5

TL-WR941ND v6

CVE-2025-14737 &

CVE-2025-14738

CVE-2025-14739

<= V2_160527

<= V3_160922

<= 3.20.1 Build 200316

<= 3.16.9 Build 151203

Рекомендации:

Мы настоятельно рекомендуем пользователям затронутых устройств предпринять следующие действия:

Для устранения этих уязвимостей загрузите и обновите прошивку до последней версии:

https://www.tp-link.com/us/support/download/tl-wa850re/v2/#Firmware

https://www.tp-link.com/us/support/download/tl-wa850re/v3/#Firmware

https://www.tp-link.com/us/support/download/tl-wr941nd/#Firmware

https://www.tp-link.com/us/support/download/tl-wr940n/v5/#Firmware

Предупреждение:

Если вы не предпримете указанные выше рекомендуемые действия, проблема уязвимости останется. Компания TP-Link не несет никакой ответственности за последствия, которых можно было бы избежать, следуя рекомендациям, изложенным в данном заявлении.

Полезен ли этот FAQ?

Ваши отзывы помогают улучшить этот сайт.