Переглядаючи цей сайт, ви погоджуєтесь з нашою політикою конфіденційності
Прийняти
  • Про нас
  • Політика конфіденційності
  • Контакти
CyberCalm
  • Кібербезпека
    КібербезпекаПоказати ще
    Вірус-вимагач: як працює здирницьке ПЗ і як захистити свої дані
    Вірус-вимагач: як працює здирницьке ПЗ і як захистити свої дані
    3 дні тому
    Схема атаки «людина посередині» (MITM): зловмисник перехоплює дані між користувачем і сайтом
    Атака «людина посередині» (MITM): чому двофакторка вже не рятує — і що реально захищає
    1 тиждень тому
    Рука прикриває клавіатуру банкомата під час введення PIN-коду — захист від скімінгу
    Шахрайство з банкоматами: види загроз і 5 способів захистити свої гроші
    2 тижні тому
    Ці розширення Chrome були зламані: видаліть негайно, якщо ви їх встановлювали
    Chrome та Firefox отримали оновлення з виправленням понад 70 уразливостей
    2 тижні тому
    Що робити, якщо ваш пароль потрапив у відкриту базу даних
    Що робити, якщо ваш пароль потрапив у відкриту базу даних
    2 тижні тому
  • Гайди та поради
    Гайди та поради
    Корисні поради, які допоможуть вам почуватися безпечно в мережі, а також маленькі хитрощі у користуванні вашими гаджетами.
    Показати ще
    Топ-новини
    Як перенести Telegram на інший телефон
    Як перенести Telegram на інший телефон. ІНСТРУКЦІЯ
    1 рік тому
    Як відновити видалені фото на iPhone
    Як відновити видалені фото на iPhone
    7 місяців тому
    Як вимкнути відстеження вашого місцезнаходження на iPhone?
    Як вимкнути відстеження вашого місцезнаходження на iPhone? – ІНСТРУКЦІЯ
    1 рік тому
    Останні новини
    Чи можуть мене знайти по IP?
    1 день тому
    Двоетапна перевірка у месенджерах: як налаштувати WhatsApp, Telegram, Signal, Viber і Messenger
    2 дні тому
    Як вимкнути автоматичне завантаження файлів у браузері — і чому це варто зробити вже зараз
    5 днів тому
    Самодіагностика смартфона: застосунки, які допоможуть урятувати ваш Android
    6 днів тому
  • Статті
    Статті
    Цікаві статті про світ технологій, інтернет та кіберзахист. Розбираємо складні теми, від штучного інтелекту до безпеки даних та Big Data. Аналітика для допитливих та професіоналів.
    Показати ще
    Топ-новини
    Для яких завдань потрібен VDS сервер: реальні приклади та особистий досвід
    Для яких завдань потрібен VDS сервер: реальні приклади та особистий досвід
    8 місяців тому
    Які послуги входять в обслуговування орендованого сервера
    Які послуги входять в обслуговування орендованого сервера
    7 місяців тому
    VPS-хостинг: від «просто працює» до «літає» — тактичний посібник
    VPS-хостинг: від «просто працює» до «літає» — тактичний посібник
    3 місяці тому
    Останні новини
    Фейкові квитанції про оплату: як перевірити справжність чека через check.gov.ua
    5 днів тому
    Що таке шкідливе ПЗ: види загроз, як вони працюють і як захиститися
    2 тижні тому
    Друге життя флагманів
    2 тижні тому
    Яка остання версія Android?
    2 тижні тому
  • Огляди
    ОглядиПоказати ще
    Proton випустила Lumo 2.0: приватний ШІ-асистент отримав генерацію зображень і режим міркування
    Proton випустила Lumo 2.0: приватний ШІ-асистент отримав генерацію зображень і режим міркування
    3 дні тому
    10c46d336be797cecad10a202f8a0d5ed8bbd3afa07bb09b0e5653b174a3573c
    Google Maps проти Apple Maps у 2026 році: який застосунок кращий
    4 дні тому
    Заборона соцмереж для дітей: які країни вже ввели обмеження і де готують закони
    Заборона соцмереж для дітей: які країни вже ввели обмеження і де готують закони
    3 тижні тому
    Кому і навіщо потрібен Mac mini: для кого створено найкомпактніший настільний Mac
    Кому і навіщо потрібен Mac mini: для кого створено найкомпактніший настільний Mac
    1 місяць тому
    Найкращі альтернативи AirPods у 2026 році: огляд моделей для Android, Windows та iOS
    Найкращі альтернативи AirPods у 2026 році: огляд моделей для Android, Windows та iOS
    2 місяці тому
  • Техногіганти
    • Google
    • Apple
    • Microsoft
    • Meta
    • OpenAI
    • Anthropic
    • xAI
    • Samsung
  • Теми
    • Комп’ютери
    • Смартфони
    • Електронна пошта
    • Windows
    • Linux
    • Android
    • iPhone
    • VPN
    • Штучний інтелект
    • Робототехніка
Соцмережі
  • Facebook
  • Instagram
  • YouTube
  • TikTok
  • X (Twitter)
  • Threads
Спеціальні теми
  • Кібервійна
  • Маніпуляції в медіа
  • Дезінформація
  • Безпека дітей в Інтернеті
  • Розумний будинок
Інше
  • Сканер безпеки сайту
  • Архів
Читання: TP-Link закрила критичну вразливість в роутерах серії Archer NX: зловмисники могли обходити автентифікацію та завантажувати прошивку
Розмір шрифтаAa
CyberCalmCyberCalm
Пошук
  • Техногіганти
    • Комп’ютери
    • Смартфони
    • Соцмережі
    • Google
    • Android
    • Apple
    • Windows
    • Linux
    • Штучний інтелект
    • Безпека дітей в інтернеті
  • Кібербезпека
  • Гайди та поради
  • Статті
  • Огляди
  • Сканер безпеки сайту
  • Архів
Follow US
  • Про проєкт Cybercalm
  • Політика конфіденційності
  • Контакти
© 2025 Cybercalm. All Rights Reserved.
Головна / Кібербезпека / TP-Link закрила критичну вразливість в роутерах серії Archer NX: зловмисники могли обходити автентифікацію та завантажувати прошивку

TP-Link закрила критичну вразливість в роутерах серії Archer NX: зловмисники могли обходити автентифікацію та завантажувати прошивку

Кібербезпека
3 місяці тому
Поширити
4 хв. читання
TP-Link закрила критичну вразливість в роутерах серії Archer NX

Компанія TP-Link випустила оновлення безпеки для роутерів серії Archer NX, усунувши кілька вразливостей, серед яких — критична помилка, що дозволяла зловмисникам обходити автентифікацію та замінювати прошивку пристрою без жодних привілеїв.

Зміст
  • Критична вразливість: обхід автентифікації через HTTP-сервер
  • Три додаткові вразливості: жорстко закодований ключ і ін’єкція команд
  • TP-Link наполегливо рекомендує встановити оновлення
  • Довга історія вразливостей: CISA, ботнети та позов прокурора
  • FCC заборонила продаж роутерів іноземного виробництва

Критична вразливість: обхід автентифікації через HTTP-сервер

Вразливість отримала ідентифікатор CVE-2025-15517 і зачіпає роутери Archer NX200, NX210, NX500 та NX600. Проблема криється у відсутності перевірки автентифікації для певних CGI-ендпоінтів HTTP-сервера — це дозволяє неавторизованому зловмиснику виконувати дії, призначені лише для автентифікованих користувачів.

«Відсутність перевірки автентифікації в HTTP-сервері для певних CGI-ендпоінтів відкриває неавторизований доступ до ресурсів, призначених для авторизованих користувачів», — пояснила TP-Link у своєму бюлетені безпеки. Зокрема, зловмисник міг виконувати привілейовані HTTP-дії без жодної авторизації — зокрема завантажувати прошивку та змінювати конфігурацію пристрою.

Три додаткові вразливості: жорстко закодований ключ і ін’єкція команд

Разом із критичною помилкою компанія усунула ще три вразливості. CVE-2025-15605 стосується жорстко закодованого криптографічного ключа в механізмі конфігурації: за його наявності автентифікований зловмисник міг розшифровувати файли конфігурації, вносити в них зміни та повторно шифрувати — фактично підробляючи налаштування роутера.

- Advertisement -

CVE-2025-15518 та CVE-2025-15519 — дві вразливості до ін’єкції команд. Вони давали змогу зловмисникам з правами адміністратора виконувати довільні команди на рівні операційної системи пристрою.

TP-Link наполегливо рекомендує встановити оновлення

Компанія наполегливо рекомендує всім власникам вразливих роутерів завантажити та встановити актуальну версію прошивки якнайшвидше. «Якщо ви не вживете всіх рекомендованих заходів, вразливість залишиться активною. TP-Link не несе відповідальності за наслідки, яких можна було уникнути, дотримуючись цих рекомендацій», — йдеться в офіційному бюлетені.

Оновлення мікропрограми доступне на офіційному сайті TP-Link у розділі підтримки відповідної моделі пристрою.

Довга історія вразливостей: CISA, ботнети та позов прокурора

Нові виправлення з’явилися на тлі низки серйозних претензій до TP-Link, що накопичилися протягом останнього року. У вересні 2025 року компанія була змушена терміново випустити патч для вразливості нульового дня, яка зачіпала одразу кілька моделей роутерів — незважаючи на те, що інформацію про цю проблему дослідники надали ще в травні 2024 року. Незакрита вразливість дозволяла перехоплювати незашифрований трафік, перенаправляти DNS-запити на шкідливі сервери та впроваджувати шкідливі пейлоади у веб-сесії користувачів.

Того ж місяця Агентство з кібербезпеки та захисту інфраструктури США (CISA) внесло дві інші вразливості TP-Link — CVE-2023-50224 та CVE-2025-9377 — до каталогу відомих вразливостей, що активно експлуатуються (KEV). Обидві використовував ботнет Quad7 для компрометації роутерів. Загалом CISA зафіксувала шість вразливостей TP-Link, які застосовуються в реальних атаках; найстаріша з них — CVE-2015-3035, вразливість обходу каталогу в роутерах серії Archer.

У лютому 2026 року генеральний прокурор Техасу Пакстон подав позов проти TP-Link Systems, звинувативши компанію в оманливому просуванні своїх роутерів як «захищених» на тлі того, що китайські хакерські угруповання, які діють за підтримки держави, використовували вразливості прошивки для несанкціонованого доступу до пристроїв користувачів.

FCC заборонила продаж роутерів іноземного виробництва

На цьому тижні Федеральна комісія зі зв’язку США (FCC) оновила список забороненого обладнання, включивши до нього всі споживчі роутери, виготовлені за межами США. Продаж нових пристроїв іноземного виробництва відтепер заборонено через «неприйнятний ризик для національної безпеки». Рішення безпосередньо стосується TP-Link, чиє обладнання виробляється в Китаї.

О, привіт 👋
Приємно познайомитися!

Підпишіться, щоб щотижня отримувати найцікавіші статті на свою поштову скриньку.

Ми не розсилаємо спам! Ознайомтеся з нашою політикою конфіденційності для отримання додаткової інформації.

Перевірте свою поштову скриньку або папку зі спамом, щоб підтвердити підписку.

ТЕМИ:TP-Linkвразливістьоновлення безпекироутери
Поділитися
Facebook Threads Копіювати посилання Друк
Що думаєте?
В захваті0
Сумно0
Смішно0
Палає0
Овва!0
Попередня стаття Apple випустила iOS та macOS 26.4 з виправленням понад 80 вразливостей Apple випустила iOS та macOS 26.4 з виправленням понад 80 вразливостей
Наступна стаття Акаунти ChatGPT, Claude та Copilot продають у даркнеті — як працює підпільний ринок ШІ Акаунти ChatGPT, Claude та Copilot продають у даркнеті — як працює підпільний ринок ШІ

В тренді

Двоетапна перевірка у месенджерах: як налаштувати WhatsApp, Telegram, Signal, Viber і Messenger
Двоетапна перевірка у месенджерах: як налаштувати WhatsApp, Telegram, Signal, Viber і Messenger
2 дні тому
Proton випустила Lumo 2.0: приватний ШІ-асистент отримав генерацію зображень і режим міркування
Proton випустила Lumo 2.0: приватний ШІ-асистент отримав генерацію зображень і режим міркування
3 дні тому
Фейкові квитанції про оплату: як перевірити справжність чека через check.gov.ua
Фейкові квитанції про оплату: як перевірити справжність чека через check.gov.ua
5 днів тому
IP
Чи можуть мене знайти по IP?
1 день тому
WhatsApp запроваджує імена користувачів, аби приховати номер телефону
WhatsApp запроваджує імена користувачів, аби приховати номер телефону
4 дні тому

Рекомендуємо

Ці розширення Chrome були зламані: видаліть негайно, якщо ви їх встановлювали
Кібербезпека

Chrome та Firefox отримали оновлення з виправленням понад 70 уразливостей

2 тижні тому
Apple усунула вразливість iOS, через яку ФБР відновило видалені повідомлення Signal
Кібербезпека

Apple усунула вразливість iOS, через яку ФБР відновило видалені повідомлення Signal

2 місяці тому
Fancy Bear: російські хакери атакують роутери TP-Link для викрадення паролів і держданих
Кібербезпека

Fancy Bear: російські хакери атакують роутери TP-Link для викрадення паролів і держданих

3 місяці тому
Microsoft примусово оновлює Windows 11 до версії 25H2 — що потрібно знати
Техногіганти

Microsoft примусово оновлює Windows 11 до версії 25H2 — що потрібно знати

3 місяці тому

Гарячі теми

  • Кібербезпека
  • Штучний інтелект
  • Смартфони
  • Комп'ютери
  • Соцмережі
  • Безпека дітей в Інтернеті

Приєднуйтесь

Ласкаво просимо до CyberCalm – вашого надійного провідника у світі цифрової безпеки та спокою!

Інформація
  • Про нас
  • Політика конфіденційності
  • Контакти
Навігація
  • Кібербезпека
  • Гайди та поради
  • Статті
  • Огляди
  • Техногіганти
CyberCalmCyberCalm
© 2025 Cybercalm. All Rights Reserved.
Cybercalm
Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?