Se ha descubierto una vulnerabilidad de severidad alta en productos TP-Link. Un actor malicioso podría ejecutar comandos arbitrarios del sistema y comprometer totalmente el entorno operativo del dispositivo afectado.
Productos afectados
- Archer BE450 v1: versiones anteriores a la 1.3.0 Build 20260416.
- Archer BE7200 v1: versiones anteriores a la 1.3.0 Build 20260416.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–5509: con una puntuación de 8.5 en CVSS v4.0. Existe una vulnerabilidad de inyección de comandos autenticados debido a una validación de entrada insuficiente en la interfaz de gestión web. Un actor malicioso adyacente y autenticado podría utilizar la consola de desarrollo del navegador para suministrar una entrada manipulada que se procesa en el sistema de archivos del dispositivo. Esto permite la ejecución de comandos arbitrarios con privilegios elevados, facilitando el inicio de servicios no autorizados, la modificación de la configuración del sistema o el compromiso total del router.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias