TP-Link修補家用路由器產品非授權存取、指令注入等高風險漏洞

其中CVE-2025-15517（CVSS風險值8.6）為HTTP伺服器端點的授權繞過漏洞，它是出於HTTP Server欠缺對某些特定CGI端點的驗證檢查，使經過驗證（具有帳號）的使用者，得以執行未經驗證的存取行為，例如攻擊者可以執行較高權限的HTTP行為，例如上傳韌體或配置操作。

CVE-2026-15518和CVE-2026-15519為指令注入漏洞，分別位於無線控制CLI路徑，以及數據機管理CLI路徑。原因是對輸入的管理CLI指令處理不當，讓攻擊者可將惡意指令包含在OS指令中輸入。若攻擊者取得或具備管理員權限，則可在OS執行任意指令，破壞路由器設備的機密性、完整性和可用性。第四項漏洞為CVE-2025-15605，為配置加密機制中的密鑰寫死漏洞，即加／解密金鑰被寫死在配置機密中，使經過驗證有帳號的攻擊者得以解密配置檔、修改內容再重新加密，破壞配置資料的機密和完整性。CVE-2026-15518、CVE-2026-15519和CVE-2025-15605的CVSS 風險值皆為8.5。

受四項漏洞影響的為家用路由器設備Archer NX系列，TP-Link已分別針對Archer NX200、210、500和600產品發布更新版韌體。

上述四款產品未在美國銷售，但皆有在臺灣販售。TP-Link呼籲用戶儘速下載安裝。廠商未說明漏洞是否有遭濫用的跡象。