CVE-2026-11409

OS Command Injection in IPv6 PPPoE Configuration in TP-Link TL-WR940N

CVSS 8.5 HIGHEPSS 2.8%CWE-78

Em resumo

Uma falha no roteador TP-Link TL-WR940N permite que um administrador injete comandos maliciosos do sistema através das configurações de IPv6 PPPoE devido à validação inadequada de entrada. Um atacante com acesso administrativo poderia executar qualquer comando no dispositivo com controle total.

Detalhe técnico

Vulnerabilidade de injeção de comando do sistema operacional no manipulador de configuração IPv6 PPPoE do TP-Link TL-WR940N v6 causada por sanitização insuficiente de entrada do usuário. Um atacante autenticado pode fornecer entrada maliciosa para executar comandos arbitrários do sistema com privilégios elevados; o vetor de ataque requer credenciais administrativas e compromete a integridade e confidencialidade do dispositivo e da rede.

Resumo gerado e traduzido por IA a partir da descrição oficial.

An authenticated OS command injection vulnerability exists in the IPv6 PPPoE configuration handler in TL-WR940N v6 due to improper sanitization of user input. An attacker with administrative access may exploit this issue to execute arbitrary system commands with elevated privileges.

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Produtos afetados

TP-Link Systems Inc. · TL-WR940N v6

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.tp-link.com/en/support/download/tl-wr940n/v6/#Firmware https://www.tp-link.com/us/support/download/tl-wr940n/v6/#Firmware https://www.tp-link.com/us/support/faq/5131/