Предупреждение о безопасности: межсайтовый скриптинг (XSS) в интерфейсе веб-управления TP-Link Archer C5 (CVE-2026-8699)
Описание уязвимости и ее влияния:
CVE-2026-8699
В веб-интерфейсе управления маршрутизаторов Archer C5 версии 6.8 выявлена уязвимость типа «хранимый межсайтовый скриптинг» (Stored XSS), вызванная недостаточной проверкой на стороне сервера и отсутствием надлежащего кодирования вывода пользовательских данных в определенных полях. Злоумышленник с правами администратора может внедрить специально сформированные HTML-теги или JavaScript-нагрузку в уязвимое поле. Данный код сохраняется и впоследствии выполняется при отображении страницы в браузере администратора.
Успешная эксплуатация позволяет выполнять произвольный JavaScript-код в браузере администратора, что может привести к перехвату сессии, несанкционированному доступу к настройкам маршрутизатора, а также потенциальному раскрытию конфиденциальных данных и изменению параметров устройства.
Оценка по шкале CVSS v4.0: 7.0 / Высокий (High)
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Затронутые продукты/версии и исправления:
|
Модель устройства |
Аппаратная версия |
Затронутая версия прошивки |
|
Archer C5 |
V6.8 |
< 0.2.0 3.0.0 v6063.0 Build 260331 Rel.37416n |
Рекомендации:
Для затронутых устройств, использующих прошивки, управляемые интернет-провайдером (ISP), устранение уязвимости осуществляется напрямую провайдерами.
Компания TP-Link предоставила обновленное ПО провайдерам, работающим в Индии; исправленная прошивка развертывается на устройствах автоматически в рамках процесса обновлений провайдера. В большинстве случаев пользователям не требуется предпринимать самостоятельных действий для получения или установки обновления.
Образы прошивок для версий от провайдеров недоступны для публичного скачивания, ссылки на них предоставляться не будут.
Клиентам, которым требуется подтверждение статуса обновления или которые его еще не получили, следует обратиться к своему интернет-провайдеру за дополнительной информацией.
Устройства, приобретенные в розничных сетях и использующие стандартное ПО TP-Link, данной проблеме не подвержены.
Отказ от ответственности:
Данное уведомление предоставлено исключительно в информационных целях и может быть изменено без предварительного уведомления. Информация предоставляется «как есть» без каких-либо гарантий. TP-Link рекомендует клиентам устанавливать доступные обновления прошивки или применять описанные обходные пути. Устройства/системы, которые не были обновлены или защищены описанными способами, могут оставаться уязвимыми.
Ищете больше информации?
Полезен ли этот FAQ?
Ваши отзывы помогают улучшить этот сайт.
TP-Link Community
Still need help? Search for answers, ask questions, and get help from TP-Link experts and other users around the world.
From United States?
Получайте информацию о продуктах, событиях и услугах для вашего региона.