安全公告：TP-Link Tapo C520WS 存在漏洞（CVE-2026-6239、CVE-2026-6240、CVE-2026-6241、CVE-2026-6242、CVE-2026-34123）

漏洞與影響描述：

CVE-2026-6239：ONVIF CreateUsers 服務中經身分驗證的基於堆疊緩衝區溢位漏洞

ONVIF CreateUsers 服務存在一個基於堆疊的緩衝區溢位漏洞，起因是設備在處理請求時未能正確驗證 XML 用戶節點的數量。經身分驗證的攻擊者可以發送包含過多用戶條目的特定調製 ONVIF 請求，從而觸發記憶體損壞。

成功利用此漏洞可能會導致 ONVIF 管理服務異常終止，從而造成拒絕服務（DoS）狀況，干擾設備的設定與管理功能。

CVE-2026-6240：ONVIF DeleteUsers 服務中經身分驗證的基於堆疊緩衝區溢位漏洞

ONVIF DeleteUsers 服務存在一個基於堆疊的緩衝區溢位漏洞，起因是在處理多個用戶刪除參數時邊界檢查不足。經身分驗證的攻擊者可以發送包含過多識別碼的特定惡意請求，從而使堆疊記憶體溢位。

成功利用此漏洞可能會導致服務崩潰或死鎖，進而引致拒絕服務（DoS），影響設備的管理與監控功能。

CVE-2026-6241：ONVIF AddScopes 方法中經身分驗證的格式化字串漏洞

ONVIF AddScopes 中存在一個經身分驗證的格式化字串漏洞，起因是用戶控制的輸入在未經充分過濾的情況下被不當傳遞至格式化函數。攻擊者可以在 ONVIF scope 參數中注入格式化說明符，以操縱記憶體處理行為。

成功利用此漏洞可能會導致 ONVIF 管理服務崩潰，造成拒絕服務（DoS）狀況並影響設備的正常運作。

CVE-2026-6242：ONVIF Subscribe 服務中經身分驗證的格式化字串漏洞

ONVIF Subscribe 服務存在一個經身分驗證的格式化字串漏洞，起因是在格式化函數中未能正確處理外部提供的參數。攻擊者可在事件訂閱請求或通知生成路徑中注入特定調製的格式化字串，以干擾服務的正常執行。

成功利用此漏洞可能會導致事件通知服務異常終止，從而令即時警報功能失效並中斷事件通知。

以上 4 個 CVE（CVE-2026-6239 至 CVE-2026-6242）共享相同的 CVSS 評分與級別：

CVSS v4.0 評分：6.8 / 中度風險（Medium）

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

CVE-2026-34123：Tapo C520WS 中的白名單驗證繞過漏洞

在此設備上，受限帳戶（例如網關用戶）原本僅能執行有限的低敏感度操作。然而，由於設備 API 授權機制中存在邏輯缺陷，攻擊者可以構造請求，利用合法的「方法映射」（method mapping）行為來繞過白名單限制，使受限的操作被偽裝成允許的請求並得以執行。

成功利用此漏洞可能允許攻擊者（擁有受限帳戶存取權限）執行未經授權的敏感操作。視乎所調用的操作而定，其潛在影響可能包括設備重設、非預期的設定變更或中斷正常運作，從而導致設備失去可用性與完整性。

CVSS v4.0 評分：7.0 / 高風險（High）

CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:H/SC:N/SI:N/SA:N

受影響產品/版本及修復方法

建議措施

TP-Link 強烈建議擁有受影響設備的用戶採取以下行動：

1. 將受影響的設備更新至已修復該漏洞的最新韌體版本：

US: Download for Tapo C520WS | TP-Link

EN: Download for Tapo C520WS | TP-Link

Disclaimer:

本安全公告僅供參考，如有變更恕不另行通知。公告內的所有資料均按「現狀」（“as is”）提供，不附帶任何形式的保證。TP-Link 建議客戶及時套用適用的韌體更新，或執行本公告中提供的緩解措施。未按照說明進行更新或緩解的設備/系統可能仍存在安全漏洞，對於因未執行相關更新而引致的任何損失或損害，TP-Link 概不承擔任何法律責任。