Рекомендации по безопасности в отношении уязвимостей типа «отказ в обслуживании» в Archer BE230 (CVE-2026-22220 и CVE-2026-22228)

Описание уязвимостей и их воздействия:

В Archer BE230 v1.2 были обнаружены следующие уязвимости отказа в обслуживании (DoS):

CVE-2026-22220: Недостаточная проверка ввода, ведущая к DoS

Отсутствие надлежащей проверки ввода в пути обработки HTTP может позволить специально созданному запросу вызвать неотзывчивость веб-службы устройства, что приведет к состоянию отказа в обслуживании. Смежный злоумышленник в сети с высокими привилегиями может вызвать временную неработоспособность веб-интерфейса устройства до его восстановления или перезагрузки.

Оценка CVSS v4.0: 6.8 / Средняя

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

CVE-2026-22228: Аутентифицированный DoS через восстановление специальной конфигурации

Аутентифицированный пользователь с высокими привилегиями может вызвать состояние отказа в обслуживании путем восстановления специально созданного файла конфигурации, содержащего чрезмерно длинный параметр. Восстановление такого файла может привести к неотзывчивости устройства, требующей перезагрузки для восстановления нормальной работы.

Оценка CVSS v4.0: 6.8 / Средняя

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:L

Затронутые продукты/версии и исправления:

Рекомендации:

Мы настоятельно рекомендуем пользователям затронутых устройств предпринять следующие действия:

1. Загрузите и обновитесь до последней версии прошивки, чтобы устранить уязвимости.

EN: Скачать для Archer BE230 | TP-Link

KZ: Скачать для Archer BE230 | TP-Link Kazakhstan

Благодарности:

Мы благодарим zeix и 0xakm за сообщение об этих проблемах.

Отказ от ответственности:

Если вы не предпримете все рекомендуемые действия, данная уязвимость сохранится. TP-Link не может нести ответственности за последствия, которых можно было бы избежать, следуя данному бюллетеню.