Vulnerabilidad en TP-Link (CVE-2023-33538)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
07/06/2023
Última modificación:
11/07/2025
Descripción
Se ha descubierto que TP-Link TL-WR940N V2/V4, TL-WR841N V8/V10, y TL-WR740N V1/V2 contienen una vulnerabilidad de inyección de comandos en el componente /userRpm/WlanNetworkRpm.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:tp-link:tl-wr940n_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-wr940n:2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-wr940n:4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:tp-link:tl-wr841n_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-wr841n:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-wr841n:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:tp-link:tl-wr740n_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-wr740n:1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-wr740n:2.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/a101e-IoTvul/iotvul/blob/main/tp-link/3/TL-WR940N_TL-WR841N_userRpm_WlanNetworkRpm_Command_Injection.md
- https://web.archive.org/web/20230609111043/https://github.com/a101e-IoTvul/iotvul/blob/main/tp-link/3/TL-WR940N_TL-WR841N_userRpm_WlanNetworkRpm_Command_Injection.md
- https://www.secpod.com/blog/cisa-issues-warning-on-active-exploitation-of-tp-link-vulnerability-cve-2023-33538/
- https://github.com/a101e-IoTvul/iotvul/blob/main/tp-link/3/TL-WR940N_TL-WR841N_userRpm_WlanNetworkRpm_Command_Injection.md
- https://web.archive.org/web/20230609111043/https://github.com/a101e-IoTvul/iotvul/blob/main/tp-link/3/TL-WR940N_TL-WR841N_userRpm_WlanNetworkRpm_Command_Injection.md
- https://www.tp-link.com/us/support/faq/3562/