Рекомендации по безопасности: внедрение команд без аутентификации через обработку параметров DHCP в нескольких маршрутизаторах TP-Link (CVE-2026-11834)
Описание уязвимости и её воздействия:
CVE-2026-11834
В логике обработки опций DHCP в нескольких моделях маршрутизаторов TP-Link обнаружена уязвимость внедрения команд, вызванная недостаточной проверкой данных опций DHCP, поступающих из внешних источников. Соседний злоумышленник может воспользоваться этой уязвимостью, отправляя специально сформированные DHCP-ответы, что может привести к несанкционированному выполнению команд во время инициализации устройства или процессов начальной настройки. Обычно это происходит, когда устройство находится в заводском состоянии или не настроено.
Успешная эксплуатация может позволить соседнему неаутентифицированному злоумышленнику выполнять произвольные команды с повышенными привилегиями, что может привести к полной компрометации затронутого устройства и несанкционированному административному управлению.
Оценка CVSS v4.0: 8.7 / Высокий
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Затронутые продукты/версии и исправления:
|
Модель продукта |
Аппаратная версия |
Исправленная версия прошивки |
|
Archer MR200(EN) |
V7 |
1.3.0 Build 250605 |
|
Archer MR200(EU) |
V8 |
1.5.0 Build 260605 |
|
Archer MR402(EU) |
V1 |
1.5.0 Build 260605 |
|
Archer VR2100(EU) |
V1 |
EU_V1_260330 |
|
Archer C20 |
V5 |
EU_V5_260317 US_V5_260419 |
|
Archer C20 |
V6 |
V6_260608 |
|
TL-MR6400(EU) |
V7 |
1.7.0 Build 260413 |
Рекомендации:
Мы настоятельно рекомендуем пользователям затронутых устройств выполнить следующие действия:
- Обновите затронутые устройства до последней версии прошивки, в которой исправлена данная уязвимость:
EN: Загрузка для Archer MR200 | TP-Link
Загрузка для Archer MR402 | TP-Link
Загрузка для TL-MR6400 | TP-Link
Загрузка для Archer VR2100 | TP-Link
Загрузка для Archer C20 | TP-Link
US: Загрузка для Archer C20 | TP-Link
Примечание: Archer MR200, MR402, VR2100, TL-MR400 не продаются в США.
Отказ от ответственности:
Настоящее уведомление предоставлено только в информационных целях и может быть изменено без предварительного уведомления. Информация предоставляется «как есть» без каких-либо гарантий. TP-Link рекомендует клиентам незамедлительно устанавливать доступные обновления прошивки или применять задокументированные обходные пути, указанные в данном уведомлении. Устройства/системы, которые не обновлены или не защищены в соответствии с описанными рекомендациями, могут оставаться уязвимыми, и TP-Link не несёт ответственности за любые убытки или ущерб, возникшие в результате невыполнения таких обновлений.
Ищете больше информации?
Полезен ли этот FAQ?
Ваши отзывы помогают улучшить этот сайт.
4.0-F_normal_20211214092556n.png)
TP-Link Community
Still need help? Search for answers, ask questions, and get help from TP-Link experts and other users around the world.
From United States?
Получайте информацию о продуктах, событиях и услугах для вашего региона.