Search icon Choose location
 
Search icon

Aviso de segurança sobre vulnerabilidades de injeção de comando e travessia de diretório no TP-Link Deco BE25 (CVE-2026-0654, CVE-2026-0655 e CVE-2026-22229)

Aviso de Segurança
Atualizado em: 03-12-2026 13:20:30 PM Number of views for this article2105

Descrição das Vulnerabilidades e Impactos:

CVE-2026-0654: Vulnerabilidade de Injeção de Comando

O tratamento inadequado de entrada na interface web de administração permite que entradas manipuladas sejam executadas como parte de um comando do sistema operacional. Um invasor adjacente autenticado pode executar comandos arbitrários por meio de um arquivo de configuração manipulado, impactando a confidencialidade, integridade e disponibilidade do dispositivo.

Pontuação CVSS v4.0: 8.5 / Alta

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

CVE-2026-0655: Vulnerabilidade de Salto de Diretório (Path Traversal)

A limitação inadequada de um nome de caminho para um diretório restrito (vulnerabilidade de 'Path Traversal') em módulos web permite que um invasor adjacente autenticado leia arquivos arbitrários ou cause negação de serviço.

Pontuação CVSS v4.0: 6.9 / Média

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:H/SC:N/SI:N/SA:L

CVE-2026-22229 (Vulnerabilidade Publicada Anteriormente)

Divulgada anteriormente no Aviso de Segurança sobre Vulnerabilidades de Injeção de Comando Autenticada no Archer BE230 (CVE-2026-0630, CVE-2026-0631, CVE-2026-22221-22227, CVE-2026-22229) | TP-Link, também afeta este produto. Os detalhes da vulnerabilidade permanecem inalterados; consulte o comunicado original.

Produtos/Versões Afetados e Correções:

Produto Afetado

Versão Afetada

Deco BE25 v1.0

<= 1.1.1 Build 20250822

 

Recomendações:

Recomendamos fortemente que os usuários com dispositivos afetados tomem as seguintes ações:

  1. Baixe e atualize para a versão de firmware mais recente para corrigir as vulnerabilidades.

US: Download para Deco BE25 | TP-Link

EN: Download para Deco BE25 | TP-Link

SG: Download para Deco BE25 | TP-Link Cingapura

Agradecimentos

Agradecemos a caprinuxx, jro e sunshinefactory por nos relatarem esses problemas de forma responsável.

Isenção de Responsabilidade:

Se você não tomar todas as ações recomendadas, esta vulnerabilidade permanecerá. A TP-Link não pode assumir qualquer responsabilidade por consequências que poderiam ter sido evitadas seguindo este aviso.

Procurando por mais

Esta FAQ é útil?

Seu feedback ajuda a melhorar este site.

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Your Privacy Choices

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Esses cookies são necessários para o funcionamento do site e não podem ser desativados em seus sistemas.

Os cookies de análise nos permitem analisar suas atividades em nosso site para melhorar e adaptar a funcionalidade do mesmo.

Os cookies de marketing podem ser definidos por meio de nosso site por nossos parceiros publicitários para criar um perfil de seus interesses e exibir anúncios relevantes em outros sites.