Предупреждение по безопасности: множественные уязвимости в TP-Link Archer VX1800v (CVE-2026-15427, CVE-2026-15428 и CVE-2026-15429)
Описание уязвимостей и их последствий:
В Archer VX1800v версии 1 были обнаружены множественные уязвимости.
CVE-2026-15427: Внедрение команд ОС в интерфейсе управления TR-069 (CWMP)
В интерфейсе управления TR-069 / CWMP уязвимого роутера существует уязвимость внедрения команд ОС, вызванная недостаточной проверкой и очисткой входных данных параметров. Это позволяет исполнять специально сформированные входные данные как команды системного уровня. Для эксплуатации требуются особые условия, такие как включенный протокол TR-069, возможность влиять на команды, передаваемые ACS, или наличие контроля над сервером ACS.
Успешная эксплуатация может позволить выполнение произвольных команд с правами root, что приведет к полному компрометации устройства.
Оценка CVSS v4.0: 8.6 / Высокая
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVE-2026-15428: Внедрение команд ОС через конфигурацию доменного имени
Уязвимость внедрения команд ОС существует из-за недостаточной очистки входных данных параметра доменного имени. Злоумышленник, находящийся в смежной сети (adjacent) и имеющий доступ к соответствующему HTTP-интерфейсу, может изменить параметр, чтобы внедрить метасимволы командной оболочки, что приведет к выполнению произвольного кода с правами root.
Успешная эксплуатация может позволить удаленное выполнение кода и полную компрометацию устройства.
Оценка CVSS v4.0: 8.5 / Высокая
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVE-2026-15429: Повышение привилегий из-за неправильной очистки входных данных
В компоненте HTTP-аутентификации существует уязвимость повышения привилегий. Неправильная обработка пользовательских входных данных может позволить внедрить символы перевода строки в данные конфигурации, формируемые внутри системы.
Авторизованный пользователь с достаточными правами может модифицировать настройки учетной записи и получить повышенные административные привилегии.
Оценка CVSS v4.0: 5.1 / Средняя
CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
Уязвимые устройства/версии и исправления:
|
Уязвимый продукт |
Уязвимая версия |
|
Archer VX1800v V1 |
< 0.16.0 2.0.0 v6092.0 Build 260521 RC.7927n |
Рекомендации:
Мы настоятельно рекомендуем пользователям уязвимых устройств выполнить следующие действия:
- Следуйте инструкциям по обновлению до последней версии прошивки для исправления уязвимостей:
EN: Загрузки для Archer VX1800v | TP-Link
Примечание: Archer VX1800v не продается в США.
Отказ от ответственности:
Данное уведомление предоставляется исключительно в информационных целях и может быть изменено без предварительного предупреждения. Информация предоставляется «как есть» без каких-либо гарантий. TP-Link рекомендует клиентам незамедлительно устанавливать доступные обновления прошивки или применять документированные временные решения, описанные в данном уведомлении. Устройства/системы, которые не были обновлены или защищены описанным образом, могут оставаться уязвимыми, и TP-Link снимает с себя любую ответственность за любые повреждения или убытки, возникшие в результате невыполнения таких обновлений.
Ищете больше информации?
Полезен ли этот FAQ?
Ваши отзывы помогают улучшить этот сайт.
TP-Link Community
Still need help? Search for answers, ask questions, and get help from TP-Link experts and other users around the world.
From United States?
Получайте информацию о продуктах, событиях и услугах для вашего региона.