【安全资讯】TP-Link紧急修补路由器关键认证绕过漏洞，敦促用户立即更新固件

概要：

在日益严峻的网络安全形势下，家用及小型办公网络设备正成为攻击者的重要目标。全球知名网络设备制造商TP-Link近日发布安全公告，警告其Archer NX系列路由器存在一个高危认证绕过漏洞，攻击者无需任何凭证即可上传恶意固件并完全控制设备，对用户隐私与网络安全构成严重威胁。

主要内容：

此次TP-Link披露的漏洞中，最严重的是编号为CVE-2025-15517的认证绕过漏洞。该漏洞源于HTTP服务器对特定CGI端点缺少身份验证检查，使得攻击者无需任何权限即可执行本应需要管理员权限的操作，包括上传新固件和修改设备配置。此漏洞直接影响了Archer NX200、NX210、NX500和NX600等多款无线路由器型号。

除了核心的认证绕过漏洞，TP-Link还修复了其他几个安全问题。其中包括一个硬编码的加密密钥漏洞（CVE-2025-15605），已认证的攻击者可利用它解密、篡改并重新加密配置文件。此外，还修复了两个命令注入漏洞（CVE-2025-15518和CVE-2025-15519），拥有管理员权限的威胁者可借此执行任意系统命令。

TP-Link强烈建议所有受影响用户立即下载并安装最新的固件版本以防范潜在攻击。该公司强调，若不采取建议措施，漏洞将持续存在，TP-Link对因未遵循此建议而可能引发的后果不承担任何责任。此事件再次凸显了及时更新物联网设备固件对于维护网络安全的重要性。