Komunikat dotyczący wielu podatności bezpieczeństwa na routerach TP-Link Archer NX200, NX210, NX500 i NX600 (CVE-2025-15517 do CVE-2025-15519 oraz CVE-2025-15605)
4945 Opis podatności bezpieczeństwa i jej wpływ:
CVE-2025-15517: Pominięcie autoryzacji w HTTP Server Endpoints
Brakujące sprawdzenie uwierzytelnienie w serwerze HTTP do pewnych punktów końcowych CGI umożliwia nieuwierzytelniony dostęp przeznaczony dla uwierzytelnionych użytkowników. Osoba atakująca może przeprowadzić uprzywilejowane działania HTTP bez uwierzytelnienia, włączając w to przesłanie oprogramowania i wykonywanie konfiguracji.
CVSS v4.0 Wynik: 8.6 / Wysoki
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
CVE-2026-15518: Podatność wstrzykiwania komend w Wireless Control CLI Path
CVE-2026-15519: Podatność wstrzykiwania komend w Modem Management CLI Path
Nieprawidłowa obsługa danych wejściowych w administracyjnym wierszu poleceń CLI umożliwia wykonywanie spreparowanych danych wejściowych jako część komend systemowych. Uwierzytelniona osoba atakująca z uprawnieniami administratora może wykonywać dowolne komendy w systemie operacyjnym, wpływając na poufność, integralność i dostępność urządzenia.
CVSS v4.0 Wynik: 8.5 / Wysoki
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVE-2025-15605: Zakodowany na stałe klucz kryptograficzny w mechanizmie szyfrowania konfiguracji
Zakodowany na stałe klucz kryptograficzny w mechanizmie konfiguracji umożliwia odszyfrowanie i ponowne zaszyfrowanie danych konfiguracyjnych urządzenia. Uwierzytelniona osoba atakująca może odszyfrować pliki konfiguracyjne, zmodyfikować je i zaszyfrować ponownie, naruszając w ten sposób poufność i integralność danych konfiguracyjnych urządzenia.
CVSS v4.0 Wynik: 8.5 / Wysoki
CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
Lista produktów i wersji oprogramowań związanych z opisaną podatnością:
|
Model produktu |
Wersje sprzętowe i oprogramowań, których dotyczy podatność |
|
Archer NX600 |
• v3.0: < 1.3.0 Build 260309 |
|
Archer NX500 |
• v2.0: < 1.5.0 Build 260309 |
|
Archer NX210 |
• v3.0: < 1.3.0 Build 260309 |
|
Archer NX200 |
• v3.0: < 1.3.0 Build 260309 |
Zalecenia:
Stanowczo zalecamy użytkownikom wspomnianych urządzeń podjęcie następujących czynności::
- Pobierz i zaktualizuj oprogramowanie do najnowszej wersji, aby naprawić podatności zabezpieczeń.
Centrum pobierania Archer NX200 | TP-Link Polska
Centrum pobierania Archer NX210 | TP-Link Polska
Centrum pobierania Archer NX500 | TP-Link Polska
Centrum pobierania Archer NX600 | TP-Link Polska
Uwaga: Produkty opisany w tym komunikacie nie są sprzedawane w Stanach Zjednoczonych.
Wyrazy uznania: Dziękujemy Saifeldeen Aziz (@wr3nchsr) z CyShield Security R&D za zgłoszenie nam tych podatności.
Zastrzeżenie:
Jeśli nie wykonasz powyższych zalecanych działań, podatność bezpieczeństwa będzie nadal występować. TP-Link nie ponosi jakiejkolwiek odpowiedzialności za konsekwencje których można było uniknąć, stosując się do zalecanych działań w tym oświadczeniu.
Czy ten poradnik FAQ był pomocny?
Twoja opinia pozwoli nam udoskonalić tę stronę.
z United States?
Uzyskaj produkty, wydarzenia i usługi przeznaczone dla Twojego regionu.