Click to skip the navigation bar
Search
Search Menu

Komunikat dotyczący podatności Wstrzykiwania komend i Path Traversal na TP-Link Deco BE25 (CVE-2026-0654, CVE-2026-0655 oraz CVE-2026-22229)

Doradztwo bezpieczeństwa
Zaktualizowano w dniu 03-03-2026 09:36:58 AM Number of views for this article2140

Opis podatności bezpieczeństwa i jej wpływ:

CVE-2026-0654: Podatność wstrzykiwania komend

Nieprawidłowa obsługa danych wejściowych w panelu administracyjnym umożliwia wykonywanie spreparowanych danych wejściowych jako części komendy systemowej. Nieuwierzytelniona osoba atakująca może wykonywać dowolny kod poprzez spreparowany plik konfiguracyjny, wpływając na poufność, integralność oraz dostępność urządzenia.

CVSS v4.0 Wynik: 8.5 / Wysoki

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

CVE-2026-0655: Podatność Path Traversal

Podatność nieprawidłowego ograniczenia Nazwy ścieżki do Ograniczonego katalogu ('Path Traversal') w modułach strony web umożliwia osobie atakującej na odczytanie dowolnych plików lub wywołanie Denial-of-Service (DoS).

CVSS v4.0 Wynik: 6.9 / Średni

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:H/SC:N/SI:N/SA:L

CVE-2026-22229: Import spreparowanego pliku konfiguracyjnego

Podatność została opisana wcześniej w Komunikat dotyczący podatności wstrzykiwania uwierzytelnionych komend na routerze Archer BE230 (CVE-2026-0630, CVE-2026-0631, CVE-2026-22221-22227, CVE-2026-22229) i Deco BE25 (CVE-2026-22229). Szczegóły podatności pozostają bez zmian.

Lista produktów i wersji oprogramowań związanych z opisaną podatnością:

Model produktu

Wersja której dotyczy podatność

Deco BE25 v1.0

<= 1.1.1 Build 20250822

 

Zalecenia:

Stanowczo zalecamy użytkownikom wspomnianych urządzeń podjęcie następujących czynności:

  1. Pobierz i zaktualizuj oprogramowanie do najnowszej wersji, aby naprawić podatności zabezpieczeń.

Dla poduktów z Europy: Centrum pobierania Deco BE25 | TP-Link Polska

Dla poduktów z USA: Centrum pobierania Deco BE25 | TP-Link USA

Dla poduktów z Singapuru: Centrum pobierania Deco BE25 | TP-Link Singapur

Wyrazy uznania:

Dziękujemy caprinuxx, jro i sunshinefactory za zgłoszenie nam tych podatności.

Zastrzeżenie:

Jeśli nie wykonasz powyższych zalecanych działań, podatność bezpieczeństwa będzie nadal występować. TP-Link nie ponosi jakiejkolwiek odpowiedzialności za konsekwencje których można było uniknąć, stosując się do zalecanych działań w tym oświadczeniu.

Więcej

Czy ten poradnik FAQ był pomocny?

Twoja opinia pozwoli nam udoskonalić tę stronę.

Ta witryna wykorzystuje tzw. pliki cookies, aby usprawnić jej przeglądanie, w celu analizy ruchu oraz do jak najlepszej optymalizacji wyświetlanych treści. W każdej chwili można wyłączyć obsługę plików cookies. Więcej informacji na ten temat dostępnych jest w Polityce prywatności

Your Privacy Choices

Ta witryna wykorzystuje tzw. pliki cookies, aby usprawnić jej przeglądanie, w celu analizy ruchu oraz do jak najlepszej optymalizacji wyświetlanych treści. W każdej chwili można wyłączyć obsługę plików cookies. Więcej informacji na ten temat dostępnych jest w Polityce prywatności

Te pliki cookies niezbędne są do poprawnego działania witryny i nie moga zostać wyłączone.

Analiza - Te pliki Cookies są wykorzystywane w celu analizy ruchu na naszej stronie, co umożliwia poprawę i dostosowanie wyświetlanych treści.

Marketing - Te pliki Cookies mogą być wykorzystywane przez naszych partnerów reklamowych podczas tworzenia profilu Twoich zainteresowań, co pozwala na wyświetlanie odpowiednich reklam na innych stronach.