TP-Link 發布了針對 Archer NX 路由器型號中四個高風險漏洞的補丁，這些漏洞可能被利用以完全控制設備。這些漏洞分別被追蹤為 CVE-2025-15517、CVE-2025-15518、CVE-2025-15519 和 CVE-2025-15605，已在 Archer NX200、NX210、NX500 和 NX600版本中解決的最新韌體路由器型號。

TP-Link 在其公告中指出，第一個漏洞 CVE-2025-15517 允許攻擊者繞過身份驗證並執行韌體上傳或配置操作等操作。

CVE-2026-15518 和 CVE-2026-15519 是命令注入漏洞，需要管理員權限才能成功利用；而 CVE-2025-15605 的存在是因為設定檔加密和解密使用了硬編碼的加密金鑰，這使得攻擊者可以篡改這些檔案。

成功利用這些安全缺陷可能使攻擊者能夠在易受攻擊的裝置上遠端執行任意程式碼，或透過中間人攻擊（MITM 攻擊）洩漏憑證。

在思科 Talos 研究人員公佈影響 TP-Link Archer AX53 路由器的 10 個漏洞的詳細資訊（包括 9 個記憶體安全缺陷和 1 個可能導致憑證洩露的錯誤配置問題） 的前一天，這些修復程序已經推出。

Talos 於 10 月向 TP-Link 報告了這些漏洞，該供應商於 2 月初為其 Archer AX53 v1.0 路由器推出了修復程式。現在，Talos 公佈了所有 10 個漏洞的技術細節，以及 Canva Affinity 像素和向量圖處理工具中的 19 個缺陷，以及海康威視人臉辨識終端中的一個問題。

在Affinity 的安全缺陷中，有 18 個可被利用來洩露敏感訊息，還有 1 個可被利用來透過精心建構的 EMF 檔案執行任意程式碼。海康威視的這個漏洞可能被遠端利用，透過精心建構的網路封包來實現任意程式碼執行。

資料來源：https://www.securityweek.com/tp-link-patches-high-severity-router-vulnerabilities/