安全性公告:以下TP-Link Archer路由器上的OpenVPN存在指令注入漏洞(CVE-2026-9151)
漏洞與影響描述:
CVE-2026-9151
TP-Link Archer AX12 v1、AX17 v1、AX18 v1 及 AX1300 v1.6 路由器的 VPN 模組存在操作系統命令注入(OS Command Injection)漏洞。此漏洞允許鄰近且經身分驗證的攻擊者透過匯入特定調製的 VPN 用戶端設定檔案,在設備上執行任意命令。該問題源於系統未能正確過濾特殊字元。
成功利用此漏洞可能會使攻擊者取得受影響設備的全面控制權,進而損害設定完整性、網絡安全及服務可用性。
CVSS v4.0 評分:8.5 / 高風險(High)
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
受影響產品/版本及修復方法:
|
產品型號 |
硬件版本 |
已修復韌體版本 |
|
Archer AX12 |
V1 |
1.5.0 Build 20260605 |
|
Archer AX17 |
V1 |
1.5.0 Build 20260605 |
|
Archer AX18 |
V1 |
1.5.0 Build 20260605 |
|
Archer AX1300 |
V1 |
1.5.0 Build 20260605 |
備註:Archer AX12、AX17 及 Archer AX18 並未於美國銷售。
建議措施:
我們強烈建議擁有受影響設備的用戶採取以下行動:
- 將受影響的設備更新至已修復該漏洞的最新韌體版本:
EN: Download for Archer AX12 | TP-Link
Download for Archer AX17 | TP-Link
Download for Archer AX18 | TP-Link
US: Download for Archer AX1300 | TP-Link
免責聲明:
本安全公告僅供參考,如有變更恕不另行通知。公告內的所有資料均按「現狀」(“as is”)提供,不附帶任何形式的保證。TP-Link 建議客戶及時套用適用的韌體更新,或執行本公告中提供的緩解措施。未按照說明進行更新或緩解的設備/系統可能仍存在安全漏洞,對於因未執行相關更新而引致的任何損失或損害,TP-Link 概不承擔任何法律責任。
Looking For More
這篇faq是否有用?
您的反饋將幫助我們改善網站
TP-Link Community
Still need help? Search for answers, ask questions, and get help from TP-Link experts and other users around the world.