文章总结： TP-LinkArcherMR600v5路由器存在高危命令注入漏洞CVE-2025-14756，CVSS评分8.5。攻击者登录管理界面后可通过构造输入注入系统命令，导致设备崩溃或完全控制。建议受影响固件版本用户立即更新至最新版本以修复漏洞。 综合评分： 85 文章分类： 漏洞预警,IoT安全,网络安全,漏洞分析

路由器入侵：TP-Link Archer MR600 路由器存在高危命令注入漏洞

sec随谈 sec随谈

sec随谈

2026年1月28日 08:52 北京

TP-Link针对其广受欢迎的Archer MR600 4G+ LTE路由器发布了安全公告，警告称其存在一个高危漏洞，攻击者可以利用该漏洞控制设备。该漏洞编号为CVE-2025-14756，CVSS评分为8.5，表明如果不进行修复，将对网络完整性构成重大风险。

该漏洞是路由器基于 Web 的管理界面中存在的经过身份验证的命令注入漏洞。

问题在于路由器如何处理其管理面板中的输入。通常，管理界面旨在限制用户只能执行特定的安全操作。然而，安全研究人员发现，Archer MR600 v5 固件未能正确过滤可通过浏览器开发者工具访问的特定区域中的输入。

根据该公告，“TP-Link Archer MR600 v5 固件的管理界面组件中发现了一个命令注入漏洞，允许经过身份验证的攻击者通过在浏览器开发者控制台中精心构造的输入来执行字符长度有限的系统命令”。

这意味着，攻击者一旦登录路由器（可能是通过猜测弱密码或使用默认凭据），就能获得超越标准管理员权限的权限。他们可以通过向系统直接注入恶意命令来绕过各种限制。

虽然该漏洞需要身份验证，但其潜在危害十分严重。它会将标准的管理会话转变为根级权限控制。

TP-Link警告称，利用此漏洞不仅会导致路由器崩溃，还会打开完全控制路由器的大门。“该漏洞允许经过身份验证的攻击者通过管理界面注入系统命令，从而导致服务中断或完全被攻陷。”

该漏洞专门影响 Archer MR600 v5。运行固件版本低于 1.1.0 0.9.1 v0001.0 Build 250930 Rel.63611n 的用户会受到影响，应立即升级。

TP-Link 已发布修复固件版本以堵住此安全漏洞。“我们强烈建议受影响设备的用户采取以下措施：下载并更新至最新固件版本以修复漏洞。 ”

用户可以直接从 TP-Link 支持页面下载更新，以保护其网络免受此命令注入威胁。

参考链接：

https://www.tp-link.com/us/support/faq/4916/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《路由器入侵：TP-Link Archer MR600 路由器存在高危命令注入漏洞》