CRITICAL🇬🇧 English

CVE-2024-57040

TP-Link TL-WR845N — zakodowane na stałe hasło roota (hardcoded password)

CVSS 9.8v3.1pub. 2025-02-26upd. 2026-04-22

Routery TP-Link TL-WR845N z określonymi wersjami firmware zawierają zakodowane na stałe hasło konta root, które można odzyskać poprzez analizę pobranego oprogramowania. Umożliwia to nieautoryzowany pełny dostęp do urządzenia.

Pokaż oryginał (EN)

TP-Link TL-WR845N devices with firmware TL-WR845N(UN)_V4_200909 and TL-WR845N(UN)_V4_190219 was discovered to contain a hardcoded password for the root account which can be obtained by analyzing downloaded firmware or via a brute force attack through physical access to the router. NOTE: The supplier has stated that this issue was fixed in firmware versions 250401 or later.

🤖 Analiza AI
Jak działa

W firmware TL-WR845N(UN)_V4_200909 oraz TL-WR845N(UN)_V4_190219 istnieje statycznie zakodowane hasło dla konta root (CWE-798). Atakujący może je uzyskać na dwa sposoby: przez analizę pobranego publicznie pliku firmware lub przez atak brute force przy fizycznym dostępie do routera. Ponieważ hasło jest takie samo we wszystkich urządzeniach z tymi wersjami oprogramowania, jego ujawnienie w jednym miejscu kompromituje wszystkie urządzenia korzystające z tych wersji firmware.

Skutki

Atakujący uzyskuje pełną kontrolę nad urządzeniem z uprawnieniami konta root, co pozwala na modyfikację konfiguracji, podsłuchiwanie ruchu sieciowego, a także wykorzystanie routera jako punktu wejścia do sieci lokalnej.

Mitygacja

Należy zaktualizować firmware do wersji 250401 lub nowszej, zgodnie z informacją producenta. Do czasu aktualizacji zaleca się ograniczenie fizycznego dostępu do urządzenia oraz izolację routera od niezaufanych segmentów sieci.

Kogo dotyczy

TP-Link TL-WR845N z firmware TL-WR845N(UN)_V4_200909 oraz TL-WR845N(UN)_V4_190219

Uwagi

Producent (TP-Link) potwierdził istnienie podatności i wskazał, że została ona naprawiona w firmware w wersji 250401 lub nowszej. Analiza techniczna dostępna jest pod adresem: https://security.iiita.ac.in/iot/hashed_password.pdf

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Tp Link Tl Wr845n

    HW
    Tp-Link
    4.0
  • Tp Link Tl Wr845n Firmware

    OS
    Tp-Link
    190219200909201214
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-46340CRITICAL9.8PL ✓ten sam produkt

TP-Link TL-WR845N — przesyłanie danych uwierzytelniających w postaci jawnego tekstu

CVE-2024-46341HIGH8.0ten sam produkt

TP-Link TL-WR845N(UN)_V4_190219 was discovered to transmit credentials in base64 encoded form, which can be ea...

CVE-2024-50699HIGH8.0ten sam produkt

TP-Link TL-WR845N(UN)_V4_201214, TL-WR845N(UN)_V4_200909 and TL-WR845N(UN)_V4_190219 were discovered to contai...

CVE-2025-15551MEDIUM5.9ten sam produkt

The response coming from TP-Link Archer MR200 v5.2, C20 v5 and v6, TL-WR850N v3, and TL-WR845N v4 for any requ...

CVE-2025-6542CRITICAL9.3PL ✓ten sam vendor

Zdalne wykonanie poleceń OS bez uwierzytelnienia w routerach TP-Link Omada