CVE-2025-15607
Authenticated Command Injection in mcsd Service of TP-Link Archer AX53
Em resumo
Um usuário autenticado pode injetar comandos maliciosos no serviço mscd do roteador TP-Link Archer AX53 através de funções de depuração com validação inadequada, permitindo executar comandos arbitrários e obter controle total do dispositivo.
Detalhe técnico
Existe injeção de comando (CWE-77) na funcionalidade de depuração do mscd devido à validação insuficiente de parâmetros de redirecionamento de log e concatenação de conteúdo de arquivo não validado em comandos de shell. Um atacante autenticado pode explorar isso para executar comandos de sistema arbitrários com privilégios de dispositivo, resultando em comprometimento completo.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A command injection vulnerability on AX53 v1 occurs in mscd debug functionality due to insufficient input handling, allowing log redirection to arbitrary files and concatenation of unvalidated file content into shell commands, enabling authenticated attackers to inject and execute arbitrary commands. Successful exploitation may allow execution of malicious commands and ultimately full control of the device.
CVSS:4.0/AV:A/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
Produtos afetados
TP-Link Systems Inc. · AX53 v1Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →