Компанія TP-Link випустила оновлення безпеки для роутерів серії Archer NX, усунувши кілька вразливостей, серед яких — критична помилка, що дозволяла зловмисникам обходити автентифікацію та замінювати прошивку пристрою без жодних привілеїв.
Критична вразливість: обхід автентифікації через HTTP-сервер
Вразливість отримала ідентифікатор CVE-2025-15517 і зачіпає роутери Archer NX200, NX210, NX500 та NX600. Проблема криється у відсутності перевірки автентифікації для певних CGI-ендпоінтів HTTP-сервера — це дозволяє неавторизованому зловмиснику виконувати дії, призначені лише для автентифікованих користувачів.
«Відсутність перевірки автентифікації в HTTP-сервері для певних CGI-ендпоінтів відкриває неавторизований доступ до ресурсів, призначених для авторизованих користувачів», — пояснила TP-Link у своєму бюлетені безпеки. Зокрема, зловмисник міг виконувати привілейовані HTTP-дії без жодної авторизації — зокрема завантажувати прошивку та змінювати конфігурацію пристрою.
Три додаткові вразливості: жорстко закодований ключ і ін’єкція команд
Разом із критичною помилкою компанія усунула ще три вразливості. CVE-2025-15605 стосується жорстко закодованого криптографічного ключа в механізмі конфігурації: за його наявності автентифікований зловмисник міг розшифровувати файли конфігурації, вносити в них зміни та повторно шифрувати — фактично підробляючи налаштування роутера.
CVE-2025-15518 та CVE-2025-15519 — дві вразливості до ін’єкції команд. Вони давали змогу зловмисникам з правами адміністратора виконувати довільні команди на рівні операційної системи пристрою.
TP-Link наполегливо рекомендує встановити оновлення
Компанія наполегливо рекомендує всім власникам вразливих роутерів завантажити та встановити актуальну версію прошивки якнайшвидше. «Якщо ви не вживете всіх рекомендованих заходів, вразливість залишиться активною. TP-Link не несе відповідальності за наслідки, яких можна було уникнути, дотримуючись цих рекомендацій», — йдеться в офіційному бюлетені.
Оновлення мікропрограми доступне на офіційному сайті TP-Link у розділі підтримки відповідної моделі пристрою.
Довга історія вразливостей: CISA, ботнети та позов прокурора
Нові виправлення з’явилися на тлі низки серйозних претензій до TP-Link, що накопичилися протягом останнього року. У вересні 2025 року компанія була змушена терміново випустити патч для вразливості нульового дня, яка зачіпала одразу кілька моделей роутерів — незважаючи на те, що інформацію про цю проблему дослідники надали ще в травні 2024 року. Незакрита вразливість дозволяла перехоплювати незашифрований трафік, перенаправляти DNS-запити на шкідливі сервери та впроваджувати шкідливі пейлоади у веб-сесії користувачів.
Того ж місяця Агентство з кібербезпеки та захисту інфраструктури США (CISA) внесло дві інші вразливості TP-Link — CVE-2023-50224 та CVE-2025-9377 — до каталогу відомих вразливостей, що активно експлуатуються (KEV). Обидві використовував ботнет Quad7 для компрометації роутерів. Загалом CISA зафіксувала шість вразливостей TP-Link, які застосовуються в реальних атаках; найстаріша з них — CVE-2015-3035, вразливість обходу каталогу в роутерах серії Archer.
У лютому 2026 року генеральний прокурор Техасу Пакстон подав позов проти TP-Link Systems, звинувативши компанію в оманливому просуванні своїх роутерів як «захищених» на тлі того, що китайські хакерські угруповання, які діють за підтримки держави, використовували вразливості прошивки для несанкціонованого доступу до пристроїв користувачів.
FCC заборонила продаж роутерів іноземного виробництва
На цьому тижні Федеральна комісія зі зв’язку США (FCC) оновила список забороненого обладнання, включивши до нього всі споживчі роутери, виготовлені за межами США. Продаж нових пристроїв іноземного виробництва відтепер заборонено через «неприйнятний ризик для національної безпеки». Рішення безпосередньо стосується TP-Link, чиє обладнання виробляється в Китаї.
