Komunikat dotyczący wielu podatności wstrzykiwania komend systemowych na TP-Link TL-WR940N (CVE-2026-11409 do CVE-2026-11410)

Opis podatności bezpieczeństwa i jej wpływ:

Zidentyfikowane podatności routera TL-WR940N V6 wpływają na moduły konfiguracji WAN z powodu niewystarczającej walidacji danych wejściowych parametrów podawanych przez użytkownika.

Wykorzystanie luki wymaga uwierzytelnionego dostępu do interfejsu zarządzania web i może umożliwić wykonywanie dowolnych komend systemowych z podniesionymi uprawnieniami, uzyskanie dostępu do wrażliwych informacji, modyfikację konfiguracji systemu i przerwanie dostępności urządzenia. Może wpłynąć na poufność, spójność i dostępność urządzenia.

CVE-2026-11409: Wstrzykiwanie komend systemowych w konfiguracji IPv6 PPPoE

Podatność wstrzykiwania komend systemowych istnieje w obsłudze konfiguracji IPv6 PPPoE z powodu nieprawidłowej sanityzacji danych wejściowych wprowadzanych przez użytkownika. Te dane wejściowe mogą zostać uwzględnione podczas wykonywania komend systemowych.

CVE-2026-11410: Wstrzykiwanie komend systemowych w konfiguracji BigPond Cable (BPA)

Podatność wstrzykiwania komend systemowych istnieje w module konfiguracji WAN BigPond Cable (BPA), w którym pewne parametry nie podlegają prawidłowej sanityzacji przed użyciem w konstrukcji komendy systemowej.

Powyższe CVE mają tę sam wynik oceny podatności

CVSS v4.0 Wynik: 8.5/ Wysoki

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Lista produktów i wersji oprogramowań związanych z opisaną podatnością:

Ważne informacje:

To urządzenie osiągnęło koniec cyklu życia produktu End-of-Life (EOL), dlatego prosimy o uważne zapoznanie się z treścią sekcji ‘Zalecenia’.

Zalecenia:

Stanowczo zalecamy użytkownikom wspomnianych urządzeń podjęcie następujących działań:

1. Pobierz i zaktualizuj oprogramowanie do najnowszej wersji, aby naprawić podatności zabezpieczeń:

Dla produktów z USA: Centrum pobierania TL-WR940N | TP-Link USA

Dla produktów z Europy: Centrum pobierania TL-WR940N | TP-Link Polska

2. Wymień urządzenie na wspierany model, aby otrzymywać automatyczne aktualizacje zwiększające bezpieczeństwo.
3. Ogranicz dostęp administracyjny: Ogranicz dostęp do interfejsu zarządzania Web tylko do zaufanych sieci.

Zastrzeżenie:

Ten komunikat jest wydany wyłącznie w celach informacyjnych i może ulec zmianie bez powiadomienia. Informacje są podawane “tak jak są” bez jakichkolwiek gwarancji. TP-Link zaleca swoim klientom zastosowanie aktualizacji oprogramowania lub zaimplementowanie udokumentowanego rozwiązania w tym komunikacie. Urządzenia i systemy, które nie zostaną zaktualizowane lub nie zostanie ograniczona ich podatność, mogą w dalszym ciągu być zagrożone. TP-Link zrzeka się jakiejkolwiek odpowiedzialności za szkody i straty wynikające z niepowodzenia implementacji podanych aktualizacji.