Authenticated RCE via Parental Control command injection

Um atacante autenticado consegue executar comandos maliciosos em roteadores TP-Link (Archer C7(EU) V2 e TL-WR841N/ND(MS) V9) através de uma falha de injeção de comando na página de Controle Parental. Isso permite comprometer completamente o roteador se o atacante conseguir acessar a interface de administrador.

Vulnerabilidade de injeção de comando na funcionalidade de Controle Parental permite que usuários autenticados injetem e executem comandos arbitrários do sistema operacional via parâmetros não sanitizados. O ataque requer credenciais administrativas válidas e afeta versões de firmware anteriores à 241108; a exploração resulta em execução de código remoto com privilégios do roteador.