В мае 2024 года независимый исследователь кибербезопасности под псевдонимом Mehrun (ByteRay) обнаружил серьёзную уязвимость в роутерах TP-Link, позволяющую удалённое выполнение кода (RCE) через протокол CWMP (TR-069). Несмотря на сообщение о проблеме 11 мая 2024 года, TP-Link официально признала её существование лишь в сентябре 2025 года, спустя почти полтора года. По данным компании, уязвимость связана с переполнением буфера в обработке SOAP-сообщений SetParameterValues из-за небезопасного использования функции strncpy.
Затронутые модели включают Archer AX10 (ревизии V1, V1.2, V2, V2.6 с прошивками до 1.2.1) и AX1500 (ревизии V1, V1.20, V1.26, V1.60, V1.80, V2.60, V3.6 с прошивками до 1.3.12). Потенциально уязвимы также модели EX141, Archer VR400 и TD-W9970, хотя их поражение пока не подтверждено. Эти устройства остаются в продаже в России, что усиливает риски для пользователей.
Уязвимость требует атаки типа «человек посередине» (MITM) и активного CWMP, который по умолчанию отключён. TP-Link выпустила патчи для европейских версий прошивок, но обновления для США и других регионов, включая Россию, всё ещё разрабатываются. Пользователям рекомендуется обновить прошивку, отключить CWMP и сменить стандартные учетные данные. Задержка в устранении проблемы подчёркивает необходимость своевременного реагирования на киберугрозы.
