關於 Archer BE230 認證命令注入漏洞的安全公告（CVE-2026-0630、CVE-2026-0631、CVE-2026-22221-22227、CVE-2026-22229）

漏洞描述：

Archer BE230 v1.2 的以下元件中發現了多個經過驗證的作業系統指令注入漏洞：

• Web 模組：CVE-2026-0630 和 CVE-2026-22222
• VPN 模組：CVE-2026-0631、CVE-2026-22221、CVE-2026-22223
• 雲端通訊模組：CVE-2026-22224
• VPN 連線服務：CVE-2026-22225
• VPN伺服器設定模組：CVE-2026-22226
• 配置備份復原功能：CVE-2026-22227
• 匯入惡意構造的配置檔案：CVE-2026-22229

每個 CVE 代表一個獨立的作業系統命令注入問題，位於不同的程式碼路徑中，因此使用單獨的 CVE ID 進行追蹤。

CVE-ID 為CVE-2026-0630、CVE-2026-0631 和 CVE-2026-22221 至 CVE-2026-22227 的CVSS 評分相同。

CVSS v4.0 評分：8.5 / 高

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

CVE-2026-22229：匯入惡意構造的配置檔案

CVSS v4.0 評分：8.6 / 高

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

影響：

成功利用漏洞可能使攻擊者獲得設備的完全管理控制權，從而嚴重損害配置完整性、網路安全和服務可用性。

受影響的產品/版本及修復方案：

建議：

我們強烈建議受影響設備的使用者採取以下措施：

1. 下載並更新至最新韌體版本以修復漏洞。

HK：下載 TP-Link Archer BE230 的最新韌體

致謝：

感謝jro、caprinuxx和sunshinefactory向我們回報這些漏洞。

免責聲明：

如果您不採取所有建議的措施，此漏洞將依然存在。 TP-Link 對未遵循此建議而導致的任何後果概不負責。