Komunikat dotyczący Wstrzykiwania komend w konfiguracji klienta WireGuard Archer MR600 (CVE-2026-8913)

Opis podatności bezpieczeństwa i jej wpływ:

CVE-2026-8913

Podatność wstrzykiwania komend występuje w konfiguracji klienta WireGuard na routerze Archer MR600 v5 z powodu nieprawidłowej neutralizacji danych wejściowych kontrolowanych przez użytkownika wewnątrz interfejsu konfiguracyjnego web. Uwierzytelniona osoba atakująca z uprawnieniami administratora może być w stanie wykonywać dowolne komendy podczas stosowania zmian konfiguracji.

Pomyślne wykorzystanie luki może skutkować całkowitym naruszeniem poufności, spójności i dostępności podatnego urządzenia.

CVSS v4.0 Wynik: 8.5 / Wysoki

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Lista produktów i wersji oprogramowań związanych z opisaną podatnością:

Zalecenia:

Stanowczo zalecamy użytkownikom wspomnianych urządzeń podjęcie następujących czynności:

1. Zaktualizuj oprogramowanie podatnych urządzeń do najnowszej wersji, aby naprawić podatność:

Dla produktów z Europy: Centrum pobierania Archer MR600 | TP-Link Polska

Dla produktów z Japonii: Centrum pobierania Archer MR600 | TP-Link Japonia

Uwaga: Archer MR600 nie jest sprzedawany w Stanach Zjednoczonych.

Zastrzeżenia:

Ten komunikat jest wydany wyłącznie w celach informacyjnych i może ulec zmianie bez powiadomienia. Informacje są podawane “tak jak są” bez jakichkolwiek gwarancji. TP-Link zaleca swoim klientom zastosowanie aktualizacji oprogramowania lub zaimplementowanie udokumentowanego rozwiązania w tym komunikacie. Urządzenia i systemy, które nie zostaną zaktualizowane lub nie zostanie ograniczona ich podatność, mogą w dalszym ciągu być zagrożone. TP-Link zrzeka się jakiejkolwiek odpowiedzialności za szkody i straty wynikające z niepowodzenia implementacji podanych aktualizacji.