Komunikat dotyczący nieprawidłowego uwierzytelniania ograniczania prędkości na Archer C64 (CVE-2026-8697)

Opis podatności bezpieczeństwa i jej wpływ:

CVE-2026-8697

Z powodu nieprawidłowego wymuszania ograniczenia prędkości uwierzytelniania w usłudze debugowania SSH na routerze Archer C64 v1, usługa SSH zezwala na nielimitowaną ilość prób uwierzytelniania i korzysta z tych samych poświadczyć co interfejs web. Umożliwia to osobie atakującej użycie Brute-Force w celu uzyskania poświadczeń przez SSH.

Pomyślne wykorzystanie luki może umożliwić osobie atakującej z dostępem do sieci na uzyskanie poświadczeń administracyjnych przez przez nieograniczone próby uwierzytelniania i uzyskanie pełnego dostępu administracyjnego do urządzenia, wpływając na poufność, spójność i dostępność systemu.

CVSS v4.0 Wynik: 8.7 / Wysoki

CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Lista produktów i wersji oprogramowań związanych z opisaną podatnością:

Zalecenia:

Stanowczo zalecamy użytkownikom wspomnianych urządzeń podjęcie następujących czynności:

1. Zaktualizuj oprogramowanie podatnych urządzeń do najnowszej wersji, aby naprawić podatność:

Dla produktów z Europy: Centrum pobierania Archer C64 | TP-Link Polska

Uwaga: Archer C64 nie jest sprzedawany w Stanach Zjednoczonych.

Zastrzeżenia:

Ten komunikat jest wydany wyłącznie w celach informacyjnych i może ulec zmianie bez powiadomienia. Informacje są podawane “tak jak są” bez jakichkolwiek gwarancji. TP-Link zaleca swoim klientom zastosowanie aktualizacji oprogramowania lub zaimplementowanie udokumentowanego rozwiązania w tym komunikacie. Urządzenia i systemy, które nie zostaną zaktualizowane lub nie zostanie ograniczona ich podatność, mogą w dalszym ciągu być zagrożone. TP-Link zrzeka się jakiejkolwiek odpowiedzialności za szkody i straty wynikające z niepowodzenia implementacji podanych aktualizacji.