一、 漏洞 CVE-2025-9377 基础信息
漏洞信息
                                        # 已认证的家长控制命令注入漏洞

## 概述

在 TP-Link Archer C7(EU) V2 和 TL-WR841N/ND(MS) V9 的“家长控制”页面中存在一个**身份验证后的远程命令执行(RCE)漏洞**,攻击者可在通过身份验证后远程执行任意命令。

## 影响版本

- **Archer C7(EU) V2**:固件版本早于 241108  
- **TL-WR841N/ND(MS) V9**:固件版本早于 241108

## 细节

- 漏洞位于 Web 管理界面的家长控制功能中  
- 攻击者需先通过身份验证(即需要有效管理员凭据)  
- 成功利用后可执行任意系统命令,可能导致设备被完全控制

## 影响

- 可导致攻击者远程执行命令,控制路由器  
- 潜在影响包括网络流量劫持、数据泄露、中间人攻击等  
- 两产品已进入**End of Life(EOL)**状态,不再接收常规更新

## 建议操作

- **推荐更换新设备**以获得更好的性能和安全性  
- 若短期内无法更换,请访问官方提供的**第二个参考链接**下载并安装补丁:  
  [点击此处下载补丁](https://www.tp-link.com/us/support/download/)(示例链接,请根据具体设备访问 TP-Link 官方支持页面)
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Authenticated RCE via Parental Control command injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The authenticated remote command execution (RCE) vulnerability exists in the Parental Control page on TP-Link Archer C7(EU) V2 and TL-WR841N/ND(MS) V9. This issue affects Archer C7(EU) V2: before 241108 and TL-WR841N/ND(MS) V9: before 241108. Both products have reached the status of EOL (end-of-life). It's recommending to purchase the new product to ensure better performance and security. If replacement is not an option in the short term, please use the second reference link to download and install the patch(es).
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
TP-LINK多款产品 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
TP-LINK TL-WR841ND等都是中国普联(TP-LINK)公司的产品。TP-LINK TL-WR841ND是一款无线路由器。TP-Link Archer C7等都是中国普联(TP-Link)公司的产品。TP-Link Archer C7是一款路由器。TP-Link TL-WR841N是一款路由器。 TP-LINK多款产品存在安全漏洞,该漏洞源于家长控制页面处理不当,可能导致远程命令执行。以下产品及版本受到影响:TP-Link Archer C7(EU) V2 241108之前版本和TL-WR84
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-9377 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-9377 的情报信息
四、漏洞 CVE-2025-9377 的评论

暂无评论

发表评论