Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Inyección arbitraria de comandos en productos de TP-Link

Fecha de publicación 09/06/2026
Identificador
INCIBE-2026-408
Importancia
4 - Alta
Recursos Afectados

Versiones anteriores a la 1.3.0 (Build 20260416) de los siguientes dispositivos:

  • Archer BE450 v1;
  • Archer BE7200 v1.
Descripción

TP-Link ha informado sobre una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante ejecutar comandos de sistema arbitrarios a través de la interfaz de administración web.

Solución

TP-Link recomienda encarecidamente a los usuarios con dispositivos afectados que actualicen a las últimas versiones de firmware disponibles para corregir la vulnerabilidad:

Detalle

CVE-2026-5509: inyección de comandos autenticada, cuya explotación podría permitir a un administrador ejecutar comandos de sistema arbitrarios a través de la interfaz de administración web. Tras autenticarse correctamente en la interfaz de administración, un atacante puede aprovechar la consola de desarrollador del navegador proporcionando una entrada manipulada que se pasa a comandos del sistema backend sin una sanitización adecuada.

La explotación exitosa permite la ejecución de comandos arbitrarios con privilegios elevados en el dispositivo, lo que puede permitir al atacante iniciar servicios no autorizados, modificar la configuración del sistema o comprometer completamente el entorno operativo del router.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-5509 Alta No TP-Link
Listado de referencias
Aviso de seguridad sobre la inyección arbitraria de comandos a través de la consola de desarrollo del navegador en los modelos Archer BE450 y BE7200 de TP-Link (CVE-2026-5509)
Etiquetas