Рекомендации по безопасности: многочисленные уязвимости внедрения команд ОС в TP-Link TL-WR940N (от CVE-2026-11409 до CVE-2026-11410)

Описание уязвимостей и воздействия:

В TL-WR940N v6 обнаружены множественные аутентифицированные уязвимости внедрения команд операционной системы. Эти уязвимости затрагивают определенные модули конфигурации WAN из-за недостаточной проверки вводимых пользователем параметров.

Для успешной эксплуатации требуется аутентифицированный доступ к веб-интерфейсу управления, что может позволить выполнение произвольных системных команд с повышенными привилегиями, доступ к конфиденциальной информации, изменение системной конфигурации и нарушение доступности устройства. Эти последствия могут повлиять на конфиденциальность, целостность и доступность устройства.

CVE-2026-11409: Внедрение команд ОС в конфигурации IPv6 PPPoE

В обработчике конфигурации IPv6 PPPoE существует аутентифицированная уязвимость внедрения команд операционной системы, вызванная некорректной фильтрацией пользовательского ввода. Этот ввод может быть передан в выполняемые системные команды.

CVE-2026-11410: Внедрение команд ОС в конфигурации BigPond Cable (BPA)

В модуле конфигурации WAN BigPond Cable (BPA) существует аутентифицированная уязвимость внедрения команд операционной системы, где определенные параметры не проходят надлежащую очистку перед использованием в системных командах.

Вышеуказанные CVE имеют одинаковый уровень серьезности.

Оценка CVSS v4.0: 8.5 / Высокая

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Затронутые продукты/версии и исправления:

Важная информация:

Это устройство достигло конца жизненного цикла (EOL); поэтому, пожалуйста, внимательно ознакомьтесь с разделом «Рекомендации».

Рекомендации:

Мы настоятельно рекомендуем пользователям с затронутыми устройствами выполнить следующие действия:

1. Следуйте инструкциям для обновления до последней версии прошивки, чтобы устранить уязвимости:

US (США): Загрузки для TL-WR940N | TP-Link

EN (Английский): Загрузки для TL-WR940N | TP-Link

2. Обновите устройство до одной из поддерживаемых моделей, чтобы получать автоматические обновления для постоянной защиты.
3. Ограничьте административный доступ: разрешите доступ к веб-интерфейсу управления только для доверенных сетей.

Отказ от ответственности:

Настоящее уведомление предоставлено исключительно в информационных целях и может быть изменено без предварительного уведомления. Информация предоставляется «как есть» без каких-либо гарантий. TP-Link рекомендует клиентам незамедлительно применять доступные обновления прошивки или внедрять задокументированные обходные решения, указанные в данном уведомлении. Устройства/системы, которые не были обновлены или защищены описанным образом, могут оставаться уязвимыми, и TP-Link не несёт ответственности за любые убытки или ущерб, возникшие в результате невыполнения таких обновлений.