TP-Link Archer AX53 Cihazındaki Çoklu Güvenlik Açıkları Hakkında Güvenlik Duyurusu (CVE-2025-15607 ve CVE-2025-15608)

Güvenlik Açıkları ve Etkileri:

CVE-2025-15607: mscd Hizmetinde Kimlik Doğrulamalı Komut Enjeksiyonu

AX53 v1'deki bir komut enjeksiyonu güvenlik açığı, yetersiz giriş işleme nedeniyle mscd hata ayıklama işlevinde ortaya çıkar ve rastgele dosyalara günlük yönlendirmesine ve doğrulanmamış dosya içeriğinin kabuk komutlarına eklenmesine izin vererek kimliği doğrulanmış saldırganların rastgele komutları enjekte etmesine ve yürütmesine olanak tanır.

Başarılı bir istismar, kötü amaçlı komutların yürütülmesine ve nihayetinde cihazın tam kontrolünün ele geçirilmesine olanak tanıyabilir.

CVSS v4.0 Puanı: 7.3/ Yüksek

CVSS:4.0/AV:A/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

CVE-2025-15608: Ağ Probu İşleme Fonksiyonunda Ara Bellek Taşması

AX53 v1'deki bu güvenlik açığı, cihazın prob işleme mantığındaki yetersiz giriş doğrulamadan kaynaklanır; burada doğrulanmamış parametreler, etkilenen hizmetin çökmesine neden olan yığın tabanlı bir ara bellek taşmasını tetikleyebilir ve belirli koşullar altında karmaşık heap-spray teknikleriyle uzaktan kod yürütmeyi mümkün kılabilir.

Başarılı bir istismar, tekrarlanan hizmet kesintilerine yol açabilir ve belirli senaryolarda bir saldırganın cihazın kontrolünü ele geçirmesine olanak tanıyabilir.

CVSS v4.0 Puanı: 7.7 / Yüksek

CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

Etkilenen Ürünler/Sürümler ve Düzeltmeler:

Tavsiyeler:

Etkilenen cihazlara sahip kullanıcıların aşağıdaki eylemleri gerçekleştirmesini önemle tavsiye ederiz:

1. Güvenlik açıklarını düzeltmek için en son firmware sürümünü indirip güncelleyin.

EN: Archer AX53 için İndir | TP-Link

Not: AX53 ABD'de satılmamaktadır.

Feragatname:

Tüm tavsiye edilen eylemleri gerçekleştirmezseniz, bu güvenlik açığı devam edecektir. TP-Link, bu bildirime uyularak önlenebilecek sonuçlardan herhangi bir sorumluluk kabul etmez.