Inyección de comandos arbitrarios en productos de TP-Link
Versiones anteriores a la 1.3.0 Build 20260416 de los siguientes dispositivos:
- TP-Link Archer BE450 v1;
- TP-Link Archer BE7200 v1.
TP-Link ha publicado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante ejecutar comandos arbitrarios del sistema a través de la interfaz de administración web.
Se recomienda a los usuarios afectados actualizar a la última versión de firmware disponible, la cual soluciona la vulnerabilidad reportada.
Vulnerabilidad de inyección de comandos tras autenticación en los routers Archer BE450v1 y BE7200 v1 que permite a un administrador ejecutar comandos arbitrarios del sistema a través de la interfaz de gestión web. Tras autenticarse correctamente en la interfaz de administración, un atacante puede aprovechar la consola de desarrollador del navegador introduciendo una entrada manipulada que se transmite a los comandos del sistema de fondo sin la debida depuración.
Si se aprovecha con éxito, permite la ejecución de comandos arbitrarios con privilegios elevados en el dispositivo, lo que puede permitir al atacante iniciar servicios no autorizados, modificar la configuración del sistema o comprometer por completo el entorno operativo del router.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-5509 | Alta | No | TP-Link |
