北京
路由器廠商TP-Link本周緊急推送補丁,修復旗下Archer NX系列的多處安全漏洞。其中最扎眼的是編號CVE-2025-15517的認證繞過漏洞——攻擊者不需要任何賬號密碼,就能直接往你的路由器里灌入惡意固件。
受影響機型包括NX200、NX210、NX500和NX600四款。TP-Link在公告里解釋得很直白:「HTTP服務器對某些cgi端點缺少認證檢查,允許未授權訪問本應需要認證的功能。」換句話說,你家路由器的后門沒上鎖,誰都能推門進來改配置。
這不是TP-Link今年第一次翻車。去年9月,該公司就被迫緊急修補一個零日漏洞——安全研究員5月就提交了報告,TP-Link愣是拖到漏洞被公開利用才動手。美國CISA同期還將另外兩處TP-Link漏洞列入已知利用目錄,Quad7僵尸網絡正用它們批量劫持設備。
更麻煩的是法律麻煩。今年2月,德州總檢察長Paxton起訴TP-Link,指控其一邊宣傳產品安全可靠,一邊放任中國背景的黑客組織利用固件漏洞入侵用戶設備。目前CISA已標記6個遭主動利用的TP-Link漏洞,最早的可追溯到2015年。
TP-Link這次的態度很強硬:「若不按建議更新,漏洞將繼續存在。因未遵循本通告而引發的后果,TP-Link概不負責。」用戶現在能做的就是進管理后臺,把固件版本刷到最新——前提是你還記得路由器登錄密碼。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
