文章总结： TP-LinkVIGI系列摄像头存在CVE-2026-0629漏洞，CVSS8.7分。该漏洞允许局域网攻击者绕过密码恢复验证重置管理员密码，进而获取设备完全控制权，影响VIGIC340等多型号。厂商已发布固件更新，用户应立即下载安装以修复此高危漏洞，防止设备被入侵。 综合评分： 75 文章分类： 漏洞预警,IoT安全,漏洞分析

CVE-2026-0629：TP-Link VIGI漏洞允许攻击者重置管理员密码

sec随谈 sec随谈

sec随谈

2026年1月21日 08:46 北京

TP-Link VIGI系列监控摄像头被发现存在严重安全 漏洞，攻击者可利用该漏洞绕过身份验证，获取摄像头的完全管理权限。该漏洞已在最新的安全公告中详细说明，主要影响摄像头本地Web界面的密码恢复功能。

该漏洞编号为 CVE-2026-0629，严重性等级为 CVSS 8.7。它源于设备验证密码重置请求的方式存在缺陷。

该公告解释说： “VIGI 摄像机本地 Web 界面密码恢复功能中的身份验证绕过漏洞允许 LAN 上的攻击者通过操纵客户端状态来重置管理员密码而无需验证。”

从本质上讲，连接到与摄像头同一局域网 (LAN) 的攻击者可以欺骗系统重置管理员密码，而无需提供必要的身份证明。

这个漏洞的影响非常严重。一旦攻击者重置密码，他们就可以以管理员身份登录，从而不受限制地访问摄像头的设置和视频流。

“攻击者可以获得设备的完全管理权限，从而破坏配置和网络安全，”该建议称。

这种级别的访问权限可能允许入侵者禁用录制、更改网络设置或转向网络上的其他设备。

该公告列出了受影响的众多型号，包括 VIGI C340、C440、C540 和 InSight 系列。TP-Link 已发布固件更新来解决这些产品线的问题。

例如，广受欢迎的 VIGI C340 2.0 型号已在固件版本 2.1.0 Build 250701 Rel.49304n 或更高版本中修复。强烈建议用户对照公告中提供的完整列表，核对自己的具体型号和固件版本。

TP-Link建议所有受影响设备的用户立即更新固件，以修复此安全漏洞。您可以在所在地区的TP-Link官方下载中心找到固件更新。

参考链接：

https://www.tp-link.com/us/support/faq/4899/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《CVE-2026-0629：TP-Link VIGI漏洞允许攻击者重置管理员密码》