Biểu tượng tìm kiếm Chọn vùng
 
Biểu tượng tìm kiếm

Cảnh Báo Bảo Mật về Lỗ Hổng Chèn Lệnh Tùy Ý qua Console Nhà Phát Triển Trình Duyệt trên Archer BE450 và BE7200 của TP-Link (CVE-2026-5509)

Tư vấn bảo mật
Cập nhật lần cuối: tháng sáu 3, 2026

Mô Tả Lỗ Hổng và Tác Động:

CVE-2026-5509

Một lỗ hổng chèn lệnh đã được xác thực (command injection) tồn tại trên bộ định tuyến Archer BE450 v1 và BE7200 v1 cho phép quản trị viên thực thi các lệnh hệ thống tùy ý thông qua giao diện quản lý web. Sau khi xác thực thành công vào giao diện quản trị, kẻ tấn công có thể tận dụng developer console của trình duyệt bằng cách cung cấp một đầu vào được thiết kế đặc biệt, đầu vào này sẽ được chuyển đến các lệnh hệ thống backend mà không qua bộ lọc làm sạch dữ liệu đầy đủ.

Khai thác thành công lỗ hổng này cho phép thực thi các lệnh tùy ý với đặc quyền nâng cao trên thiết bị, từ đó kẻ tấn công có thể khởi chạy các dịch vụ trái phép, sửa đổi cấu hình hệ thống hoặc hoàn toàn thao túng môi trường hoạt động của bộ định tuyến.

Điểm CVSS v4.0: 8.5 / Cao

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Các Sản Phẩm/Phiên Bản Bị Ảnh Hưởng và Biện Pháp Khắc Phục:

Mẫu Sản Phẩm Bị Ảnh Hưởng

Phiên Bản Bị Ảnh Hưởng

Archer BE450 v1

< 1.3.0 Build 20260416

Archer BE7200 v1

< 1.3.0 Build 20260416

 

Khuyến Nghị:

Chúng tôi khuyến nghị người dùng đang sử dụng các thiết bị bị ảnh hưởng thực hiện ngay các hành động sau:

  1. Tải xuống và cập nhật lên phiên bản firmware mới nhất để khắc phục lỗ hổng:

EN: Tải xuống cho Archer BE450 | TP-Link

JP: Tải xuống cho Archer BE450 | TP-Link Nhật Bản

Tải xuống cho Archer BE7200 | TP-Link Nhật Bản

Lưu ý: BE450 và BE7200 không được bán tại thị trường Việt Nam.

Tuyên Bố Từ Chối Trách Nhiệm:

Thông báo cảnh báo này chỉ được cung cấp với mục đích thông tin và có thể thay đổi mà không cần báo trước. Thông tin được cung cấp theo nguyên tắc “nguyên trạng” mà không có bất kỳ sự đảm bảo nào. TP-Link khuyến nghị khách hàng áp dụng các bản cập nhật firmware hiện có hoặc triển khai các biện pháp khắc phục tạm thời đã được ghi nhận như cung cấp trong thông báo này. Các thiết bị/hệ thống không được cập nhật hoặc giảm thiểu rủi ro như mô tả có thể tiếp tục bị tổn hại bởi lỗ hổng, và TP-Link từ chối mọi trách nhiệm pháp lý hoặc nghĩa vụ đối với bất kỳ thiệt hại hoặc tổn thất nào phát sinh do việc không triển khai các bản cập nhật đó.

 

Related FAQs

Tìm kiếm thêm

Câu hỏi thường gặp này có hữu ích không?

Phản hồi của bạn giúp cải thiện trang web này.

Sản phẩm khuyến nghị

Community

TP-Link Community

Still need help? Search for answers, ask questions, and get help from TP-Link experts and other users around the world.

Visit the Community >

This website uses cookies to improve website navigation, analyze online activities and have the best possible user experience on our website. You can object to the use of cookies at any time. You can find more information in our privacy policy . Don’t show again

Your Privacy Choices

This website uses cookies to improve website navigation, analyze online activities and have the best possible user experience on our website. You can object to the use of cookies at any time. You can find more information in our privacy policy . Don’t show again

Những cookie này cần thiết để trang web hoạt động và không thể tắt trong hệ thống của bạn.

Cookie phân tích cho phép chúng tôi phân tích các hoạt động của bạn trên trang web của chúng tôi nhằm cải thiện và điều chỉnh chức năng trang web của chúng tôi.

Các cookie tiếp thị có thể được các đối tác quảng cáo của chúng tôi thiết lập thông qua trang web của chúng tôi để tạo hồ sơ về sở thích của bạn và hiển thị cho bạn các quảng cáo có liên quan trên các trang web khác.