Komunikat dotyczący podatności bezpieczeństwa na routerze TP-Link Archer AX53 (CVE-2026-30814, CVE-2026-30815, CVE-2026-30816, CVE-2026-30817, CVE-2026-30818)

Opis podatności bezpieczeństwa i jej wpływ:

1. Wstrzykiwanie komend systemowych

CVE-2026-30815: Moduł OpenVPN

Podatność wstrzykiwania komend systemowych w module OpenVPN umożliwia uwierzytelnionej osobie atakującej wykonanie komend systemowych, gdy specjalnie spreparowany plik konfiguracyjny będzie przetwarzany przy niewystarczającej walidacji danych wejściowych.

Pomyślne wykorzystanie luki może umożliwić modyfikację plików konfiguracyjnych, ujawnienie danych wrażliwych lub dalsze naruszenie spójności urządzenia.

CVE-2026-30818: Moduł dnsmasq

Podatność wstrzykiwania komend systemowych w module dnsmasq umożliwia uwierzytelnionej osobie atakującej wykonanie dowolnego kodu, gdy specjalnie spreparowany plik konfiguracyjny będzie przetwarzany przy niewystarczającej walidacji danych wejściowych.

Pomyślne wykorzystanie luki może umożliwić modyfikację konfiguracji urządzenia, dostęp do danych wrażliwych lub dalsze naruszenie spójności urządzenia.

CVSS v4.0 Wynik: 8.5 / Wysoki

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

2. Przepełnienie bufora

CVE-2026-30814: Moduł tmpServer

Przepełnienie bufora stosu w module tmpServer umożliwia uwierzytelnionej osobie atakującej wyzwolenie błędu segmentacji i potencjalne wykonanie dowolnego kodu przez specjalnie spreparowany plik konfiguracyjny.

Pomyślne wykorzystanie luki może spowodować awarię i możliwość wykonania dowolnego kodu, modyfikacji stanu urządzenia, ujawnienia danych wrażliwych lub dalszego naruszania spójności urządzenia.

CVSS v4.0 Wynik: 7.3 / Wysoki

CVSS:4.0/AV:A/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

3. Odczytywanie dowolnego pliku

CVE-2026-30816: Moduł OpenVPN

Podatność zewnętrznej kontroli konfiguracji w module OpenVPN umożliwia uwierzytelnionej osobie atakującej na odczytywanie dowolnych plików, gdy przetwarzany jest szkodliwy plik konfiguracyjny. Pomyślne wykorzystanie luki może umożliwić nieautoryzowany dostęp do dowolnych plików urządzenia, prowadząc potencjalnie do ujawnienia wrażliwych informacji.

CVE-2026-30817: Moduł dnsmasq

Podatność zewnętrznej kontroli konfiguracji w module dnsmasq umożliwia uwierzytelnionej osobie atakującej na odczytywanie dowolnych plików, gdy przetwarzany jest szkodliwy plik konfiguracyjny. Pomyślne wykorzystanie luki może umożliwić nieautoryzowany dostęp do dowolnych plików urządzenia, prowadząc potencjalnie do ujawnienia wrażliwych informacji.

Stopień zagrożenia dla CVE-2026-30816 i CVE-2026-30817

CVSS v4.0 Wynik: 6.8 / Średni

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Lista produktów i wersji oprogramowań związanych z opisaną podatnością:

Zalecenia:

Stanowczo zalecamy użytkownikom wspomnianych urządzeń podjęcie następujących czynności:

1. Pobierz i zaktualizuj oprogramowanie do najnowszej wersji, aby naprawić podatności zabezpieczeń.

Dla poduktów z Europy: Centrum pobierania dla Archer AX53 | TP-Link Polska

Dla poduktów z Malezji: Centrum pobierania dla Archer AX53 | TP-Link Malezja

Uwaga: Archer AX53 V1 nie jest sprzedawany w Stanach Zjednoczonych.

Zastrzeżenie:

Jeśli nie wykonasz powyższych zalecanych działań, podatność bezpieczeństwa będzie nadal występować. TP-Link nie ponosi jakiejkolwiek odpowiedzialności za konsekwencje których można było uniknąć, stosując się do zalecanych działań w tym oświadczeniu.