Omada Pro Logo official website Vigi Logo official website
Связаться с нами
Казахстан / Русский

Рекомендации по безопасности в отношении многочисленных уязвимостей Tapo C260 (CVE-2026-0651, CVE-2026-0652, CVE-2026-0653)

Советы по безопасности
Дата последнего обновления: 02-11-2026 02:51:54 AM Number of views for this article12801

Описание уязвимостей и их воздействия:

CVE-2026-0651: Обход пути (Path Traversal) через локальный HTTPS

В TP-Link Tapo C260 v1 возможен обход пути из-за некорректной обработки определенных путей GET-запросов через HTTPS, что позволяет локально без аутентификации исследовать пути файловой системы. Злоумышленник в локальной сети может определить, существуют ли определенные файлы на устройстве, без возможности чтения, записи или выполнения кода.

Оценка CVSS v4.0: 5.3 / Средняя

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:L/SI:N/SA:N

CVE-2026-0652: Удаленное выполнение кода на Tapo C260 гостевым пользователем

В TP-Link Tapo C260 v1 существует уязвимость внедрения команд из-за недостаточной проверки определенных POST-параметров во время синхронизации конфигурации. Аутентифицированный злоумышленник может выполнять произвольные системные команды с высоким воздействием на конфиденциальность, целостность и доступность. Это может привести к полному компрометированию устройства.

Оценка CVSS v4.0: 8.7 / Высокая

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

CVE-2026-0653: Небезопасный контроль доступа на Tapo D235 и C260

В TP-Link Tapo C260 v1 аутентифицированный пользователь с гостевыми правами может обойти предусмотренные ограничения доступа, отправляя специально сформированные запросы к конечной точке синхронизации. Это позволяет изменять защищенные настройки устройства, несмотря на ограниченные привилегии. Злоумышленник может изменить чувствительные параметры конфигурации без авторизации, что приводит к несанкционированному изменению состояния устройства, но не к полному выполнению кода.

Оценка CVSS v4.0: 7.2 / Высокая

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N

Затронутые продукты/версии и исправления:

Затронутая модель продукта

Связанные уязвимости

Затронутая версия

Tapo C260 v1

CVE-2026-0651

CVE-2026-0652

CVE-2026-0653

< 1.1.9 Build 251226 Rel.55870n

 

Рекомендации:

Мы настоятельно рекомендуем пользователям с затронутыми устройствами предпринять следующие действия:

  1. Следуйте инструкциям, чтобы обновить прошивку до последней версии для устранения уязвимостей:

KZ: https://www.tp-link.com/kz/support/download/tapo-c260/v1/

EN: https://www.tp-link.com/en/support/download/tapo-c260/v1/

Благодарности

Мы благодарим spaceraccoon за ответственное сообщение об этих проблемах нам.

Отказ от ответственности:

Если вы не предпримете все рекомендуемые действия, эта уязвимость останется. TP-Link не может нести ответственность за последствия, которых можно было бы избежать, следуя данному уведомлению.

Часто задаваемые вопросы по теме

Дополнительная информация

Полезен ли этот FAQ?

Ваши отзывы помогают улучшить этот сайт.

This website uses cookies to improve website navigation, analyze online activities and have the best possible user experience on our website. You can object to the use of cookies at any time. You can find more information in our privacy policy . Don’t show again

Your Privacy Choices

This website uses cookies to improve website navigation, analyze online activities and have the best possible user experience on our website. You can object to the use of cookies at any time. You can find more information in our privacy policy . Don’t show again

Basic Cookies

These cookies are necessary for the website to function and cannot be deactivated in your systems.

TP-Link

SESSION, JSESSIONID, accepted_local_switcher, tp_privacy_banner, tp_privacy_base, tp_privacy_marketing, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Zendesk

OptanonConsent, __cf_bm, __cfruid, _cfuvid, _help_center_session, _pendo___sg__.<container-id>, _pendo_meta.<container-id>, _pendo_visitorId.<container-id>, _zendesk_authenticated, _zendesk_cookie, _zendesk_session, _zendesk_shared_session, ajs_anonymous_id, cf_clearance

Analysis and Marketing Cookies

Analysis cookies enable us to analyze your activities on our website in order to improve and adapt the functionality of our website.

The marketing cookies can be set through our website by our advertising partners in order to create a profile of your interests and to show you relevant advertisements on other websites.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au