Sicherheitshinweis zu mehreren Schwachstellen im TP-Link VX800v (CVE-2025-13399, CVE-2025-15541 bis CVE-2025-15543, CVE-2025-15548)

Beschreibung der Schwachstellen und Auswirkungen:

Die folgenden Sicherheitslücken wurden auf TP-Link VX800v v1.0 identifiziert:

CVE-2025-13399: Unsichere Verschlüsselung bei der Kommunikation mit der Webschnittstelle

Eine Schwachstelle in der Verschlüsselung der Anwendungsschicht der Webschnittstelle ermöglicht es einem Angreifer in der Nähe, den schwachen AES-Schlüssel mit Brute-Force-Methoden zu knacken und abgefangenen Datenverkehr zu entschlüsseln. Eine erfolgreiche Ausnutzung erfordert die Anwesenheit in der Nähe des Netzwerks, aber keine Authentifizierung und kann erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der übertragenen Daten haben.

CVSS v4.0-Bewertung: 7,7 / Hoch

CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVE-2025-15541: Zugriff auf Systemdateien über SFTP

Eine unsachgemäße Linkauflösung im SFTP-Dienst des VX800v ermöglicht es authentifizierten Angreifern in der Nähe, über manipulierte symbolische Links auf Systemdateien zuzugreifen, was zu einer hohen Beeinträchtigung der Vertraulichkeit und einem begrenzten Integritätsrisiko führt.

CVSS v4.0-Bewertung: 6,9 / Mittel

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N

CVE-2025-15542: Denial-of-Service (DoS) der VoIP-Kommunikation

Durch unsachgemäße Behandlung von Ausnahmebedingungen bei der SIP-Verarbeitung kann ein Angreifer den VX800v mit manipulierten INVITE-Nachrichten überfluten, wodurch alle Sprachleitungen blockiert werden und ein Denial-of-Service-Fehler bei eingehenden Anrufen verursacht wird.

CVSS v4.0-Bewertung: 6,3 / Mittel

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

CVE-2025-15543: Schreibgeschützter Root-Zugriff über USB-Speichergerät

Eine fehlerhafte Linkauflösung im USB-HTTP-Zugriffspfad ermöglicht es einem manipulierten USB-Gerät, den Inhalt des Root-Dateisystems offenzulegen, wodurch ein Angreifer mit physischem Zugriff den Lesezugriff auf Systemdateien erhält.

CVSS v4.0-Score: 5,1 / Mittel

CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

CVE-2025-15548: Fehlende Verschlüsselung auf Anwendungsebene in Webschnittstellen-Endpunkten

Einige VX800v-Webschnittstellen-Endpunkte übertragen sensible Informationen über unverschlüsseltes HTTP-Protokoll, da die Verschlüsselung auf Anwendungsebene fehlt. Dadurch kann ein Angreifer aus dem benachbarten Netzwerk diesen Datenverkehr abfangen und dessen Vertraulichkeit gefährden.

CVSS v4.0-Score: 5,3 / Mittel

CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

Betroffene Produkte/Versionen und Ausbesserungen:

Empfehlungen:

Wir empfehlen Benutzern mit betroffenen Geräten dringend, die folgenden Maßnahmen zu ergreifen:

1.    Laden Sie die neueste Firmware-Version herunter und aktualisieren Sie das Gerät, um die Sicherheitslücken zu beheben.

DE: Download für VX800v | TP-Link Deutschland

Dieses Produkt wird in den USA nicht verkauft.

Haftungsausschluss:

Wenn Sie nicht alle empfohlenen Maßnahmen ergreifen, bleibt diese Sicherheitslücke bestehen. TP-Link kann nicht für Folgen haftbar gemacht werden, die durch Befolgen dieser Empfehlung hätten vermieden werden können.