TP-Link 已修復其 Archer NX 路由器系列中的多個漏洞，其中包括一個嚴重漏洞，該漏洞可能允許攻擊者繞過身份驗證並上傳新韌體。此安全漏洞編號為CVE-2025-15517，影響 Archer NX200、NX210、NX500 和 NX600 無線路由器，其根源在於缺少身分驗證漏洞，攻擊者無需權限即可利用該漏洞。

TP-Link 本週稍早發布安全性更新以解決漏洞時解釋說：“HTTP 伺服器對某些 CGI 端點缺少身份驗證檢查，導致未經身份驗證的用戶無法存取原本應由已驗證用戶存取的內容。擊者無需身份驗證即可執行特權 HTTP 操作，包括韌體上傳和配置操作。”

TP-Link 也移除了設定機制中硬編碼的加密金鑰（CVE-2025-15605），該金鑰允許經過驗證的攻擊者解密設定檔、修改設定檔並重新加密設定檔。

此外，它還修復了兩個命令注入漏洞（CVE-2025-15518 和 CVE-2025-15519），這兩個漏洞使具有管理員權限的威脅行為者能夠執行任意命令。該公司「強烈建議」客戶下載並安裝最新韌體版本，以阻止利用這些漏洞的潛在攻擊。

資料來源：https://www.bleepingcomputer.com/news/security/tp-link-warns-users-to-patch-critical-router-auth-bypass-flaw/