北京
TP-Link這周給Archer NX系列路由器打了個補丁,修了個能讓黑客直接繞開登錄、上傳惡意固件的漏洞。換句話說,你家路由器的管理員密碼形同虛設。
這個編號CVE-2025-15517的漏洞影響NX200、NX210、NX500、NX600四款機型。TP-Link的原話是:「攻擊者無需認證即可執行特權HTTP操作,包括固件上傳和配置修改。」翻譯一下:黑客能直接給你路由器換系統,而你完全不知道。
同批修復的還有硬編碼密鑰漏洞(CVE-2025-15605)和兩個命令注入漏洞。前者讓拿到管理員權限的人能解密、篡改、再加密你的配置文件;后者則允許攻擊者直接在路由器里執行任意命令。
TP-Link的措辭相當強硬,"強烈"建議用戶升級,并甩鍋聲明:「若不采取建議措施,漏洞將繼續存在。因未遵循本通告而可避免的后果,TP-Link概不負責。」這不是建議,是免責聲明。
這已是TP-Link今年的第二次危機公關。去年9月,該公司就被迫緊急修補一個零日漏洞——安全研究員5月就已報告,TP-Link拖到漏洞被野外利用才動手。美國CISA目前已將6個TP-Link漏洞列入已知被利用清單,最老的可以追溯到2015年。德州總檢察長今年2月剛起訴該公司虛假宣傳安全性,稱其路由器實為"中國黑客的后門"。
一位用戶在TP-Link論壇吐槽:「我的NX600買了兩年,從沒收到過自動更新提示。」
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
