Aviso de segurança sobre vulnerabilidades de injeção de comando autenticado no Archer BE230 (CVE-2026-0630, CVE-2026-0631, CVE-2026-22221-22227, CVE-2026-22229)

Descrição das vulnerabilidades:

Foram identificadas múltiplas vulnerabilidades de injeção de comandos do sistema operacional autenticado no Archer BE230 v1.2 nos seguintes componentes:

• Módulos Web: CVE-2026-0630 e CVE-2026-22222
• Módulos VPN: CVE-2026-0631, CVE-2026-22221, CVE-2026-22223
• Módulos de comunicação em nuvem: CVE-2026-22224
• Serviço de conexão VPN: CVE-2026-22225
• Módulo de Configuração do Servidor VPN: CVE-2026-22226
• Função de restauração de backup de configuração: CVE-2026-22227
• Importação do arquivo de configuração modificado: CVE-2026-22229

Cada CVE representa um problema distinto de injeção de comando do sistema operacional em um caminho de código separado e, portanto, é rastreado sob um ID de CVE individual.

A pontuação CVSS é idêntica para os CVE-IDs: CVE-2026-0630, CVE-2026-0631 e CVE-2026-22221 a CVE-2026-22227.

Pontuação CVSS v4.0: 8,5 / Alta

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

CVE-2026-22229 : Importação de arquivo de configuração modificado

Pontuação CVSS v4.0: 8,6 / Alta

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

Impactos:

A exploração bem-sucedida dessa vulnerabilidade poderia permitir que um invasor obtivesse controle administrativo total do dispositivo, resultando em sério comprometimento da integridade da configuração, da segurança da rede e da disponibilidade do serviço.

Produtos/Versões afetados e correções:

Recomendações:

Recomendamos enfaticamente que os usuários com dispositivos afetados tomem as seguintes providências:

1. Baixe e atualize para a versão mais recente do firmware para corrigir as vulnerabilidades.

EUA: Baixe para Archer BE230 | TP-Link

PT: Download para Archer BE230 | TP-Link

SG: Download para Archer BE230 | TP-Link Singapura

Agradecimentos:

Agradecemos a jro , caprinuxx e sunshinefactory por nos terem reportado estas vulnerabilidades.

Isenção de responsabilidade:

Caso você não tome todas as medidas recomendadas, essa vulnerabilidade persistirá. A TP-Link não se responsabiliza por quaisquer consequências que poderiam ter sido evitadas caso este aviso tivesse sido seguido.