TP-Link a corrigé quatre vulnérabilités sur ses routeurs Archer NX200, NX210, NX500 et NX600, dont une faille ouvrant l’accès à certaines fonctions sensibles sans authentification préalable.
Mieux vaut ne pas trop traîner. TP-Link vient de corriger plusieurs vulnérabilités affectant ses Archer NX200, NX210, NX500 et NX600, dont une faille suffisamment sérieuse pour permettre l’exécution d’actions normalement réservées à l’administration de l’appareil. En cause, l’absence de vérification d’identité dans certaines fonctions accessibles depuis l’interface web du routeur, ce qui permettait à un attaquant d’envoyer certaines requêtes sans avoir à se connecter au préalable, alors même qu’elles auraient dû être bloquées.
Une faille permettant d’agir sur le routeur sans authentification
La vulnérabilité la plus importante, référencée CVE-2025-15517, permettait de contourner l’authentification sur certaines fonctions du serveur web embarqué dans le routeur. Concrètement, un attaquant pouvait lancer des actions qui auraient normalement dû être réservées à une personne déjà connectée, comme charger un nouveau firmware ou modifier la configuration de l’appareil.
Sur un routeur, ce n’est évidemment pas le genre de bug qu’on a envie de laisser traîner. Pouvoir toucher au firmware ou aux paramètres sans authentification n’a rien d’un banal raté de sécurité. TP-Link attribue d’ailleurs à la faille un score CVSS de 8.6, soit un niveau de sévérité suffisamment élevé pour justifier l’installation rapide du correctif.
Pour l’Archer NX600, sont concernés les firmwares antérieurs aux versions 1.3.0 Build 260309 sur la v3.0, 1.3.0 Build 260311 sur la v2.0 et 1.4.0 Build 260311 sur la v1.0.
Sur l’Archer NX500, il faut mettre à jour les versions antérieures à 1.5.0 Build 260309 sur la v2.0 et à 1.3.0 Build 260311 sur la v1.0.
Même constat, enfin, côté Archer NX210 et NX200, concernés par des firmwares antérieurs à la 1.3.0 Build 260309 sur les révisions v3.0 et à la 1.3.0 Build 260311 sur les v2.0 et v2.20. Pour le NX200 v1.0, les versions antérieures à la 1.8.0 Build 260311 sont elles aussi touchées.
Deux failles d’injection de commandes, et une clé codée en dur
Dans son bulletin de sécurité, TP-Link a également indiqué avoir corrigé trois autres vulnérabilités.
Les deux premières, CVE-2025-15518 et CVE-2025-15519, sont des vulnérabilités d’injection de commandes notées 8.5 sur l’échelle CVSS. Elles touchent des commandes d’administration liées au contrôle du Wi-Fi et à la gestion du modem, et pouvaient permettre à une personne déjà authentifiée comme administratrice d’exécuter des commandes sur le système du routeur.
La troisième, CVE-2025-15605, elle aussi notée 8.5, reposait sur la présence d’une clé cryptographique codée en dur dans le mécanisme de chiffrement de la configuration. Une faiblesse qui aurait pu permettre à une personne authentifiée de déchiffrer les fichiers de configuration, de les modifier, puis de les rechiffrer.
Aucune exploitation active n’a pour l’heure été signalée par TP-Link, mais maintenant que ces vulnérabilités sont connues, différer la mise à jour de votre routeur serait prendre un risque inutile.
Source : TP-Link
Cela désigne un bug où certaines fonctions du serveur web du routeur ne vérifient pas correctement l’identité de l’utilisateur avant d’exécuter une action. Un attaquant peut alors envoyer des requêtes HTTP “comme si” la session était déjà connectée, sans fournir de mot de passe valide. Le risque dépend des fonctions exposées : si la mise à jour du firmware ou la modification de la configuration est accessible, l’appareil peut être reconfiguré, détourné ou rendu indisponible. Ce type de faille est particulièrement critique car l’interface d’administration pilote des composants réseau centraux (DNS, NAT, pare-feu, Wi‑Fi).
À quoi correspond une faille d’injection de commandes sur un routeur, et pourquoi le fait d’être déjà admin ne la rend pas anodine ?Une injection de commandes apparaît quand une fonction logicielle construit une commande système (shell) à partir de données fournies par l’utilisateur sans filtrage strict. Un administrateur malveillant (ou un compte admin compromis) peut alors exécuter des commandes arbitraires sur l’OS embarqué du routeur, au-delà des options prévues par l’interface. Cela peut mener à l’installation d’un binaire, à l’ouverture d’un accès distant, à l’exfiltration de secrets ou à la modification des règles réseau. Le fait que l’attaque nécessite une authentification n’annule pas la gravité : la surface d’attaque inclut le vol de mots de passe, l’hameçonnage, ou la réutilisation d’identifiants déjà compromis ailleurs.
Pourquoi une clé cryptographique “codée en dur” dans le chiffrement de la configuration est un problème de sécurité ?Une clé codée en dur (hardcoded key) est intégrée au firmware ou à l’application et ne change pas d’un appareil à l’autre, ou pas assez. Si cette clé est récupérée (via analyse du firmware, fuite, ou extraction), le chiffrement de la configuration perd une grande partie de son intérêt : il devient possible de déchiffrer et comprendre les fichiers supposés protégés. Dans le cas d’un routeur, ces fichiers peuvent contenir des paramètres sensibles (accès, réseau, identifiants de services). Pire, un attaquant authentifié peut modifier la configuration, puis la rechiffrer de façon “valide”, rendant la manipulation difficile à détecter.
