文章总结： TP-LinkArcherMR600v5路由器存在高危命令注入漏洞CVE-2025-14756，CVSS8.5分。攻击者需认证但可绕过过滤注入系统命令，完全控制设备。影响固件版本小于1.1.0。建议立即升级官方固件，或实施网络分段、强化访问控制及监控日志等临时防护措施以降低风险。 综合评分： 86 文章分类： 漏洞预警,漏洞分析,网络安全

TP-Link Archer MR600 v5 命令注入漏洞预警（CVE-2025-14756）

邑安科技 邑安科技

邑安全

2026年1月30日 16:36 广东

更多全球网络安全资讯尽在邑安全

一、 漏洞概述

近日，网络安全机构披露 TP-Link Archer MR600 v5 路由器存在高危命令注入漏洞，漏洞编号为：CVE-2025-14756，CVSS v4.0 评分为 8.5 分，漏洞威胁等级：高危。

该漏洞存在于路由器固件的管理界面组件中，拥有认证凭证的攻击者可通过浏览器开发者控制台提交特制输入，注入任意系统命令，进而干扰设备服务或完全控制受影响路由器。尽管注入命令存在字符长度限制，但仍可导致设备被全面攻破，对网络基础设施的机密性、完整性和可用性构成重大威胁。

二、 漏洞分析

TP-Link Archer MR600 v5 命令注入漏洞

漏洞编号: CVE-2025-14756

漏洞类型: 命令注入

简述: 漏洞源于 Archer MR600 v5 路由器固件管理界面对用户输入缺乏有效过滤机制。攻击者在获取设备管理权限后，可通过浏览器开发者工具构造恶意输入，绕过字符长度限制注入系统命令，执行恶意操作。

攻击需满足 “相邻网络访问” 和 “高权限认证” 条件，但一旦成功利用，可实现对路由器的完全控制，成为网络横向移动的跳板，尤其对企业环境的网络安全危害显著。

三、 影响版本

| | | | — | — | | 漏洞 | 影响版本 | | CVE-2025-14756 | TP-Link Archer MR600 v5 固件版本 < 1.1.0、0.9.1、v0001.0 build 250930 rel.63611n（即 0.9.1 及以下版本） |

四、 防护方案

修复建议：

1、官方升级修复：TP-Link 已发布修复固件，建议用户立即下载并安装最新版本，修补命令注入漏洞。

https://www.tp-link.com/en/support/download/archer-mr600/#Firmware

2、临时防护措施：

网络分段限制：实施网络分段，仅允许可信终端访问路由器管理接口，减少攻击面；强化访问控制：严格管控路由器管理权限，避免弱密码，定期更换管理员凭证；

监控异常行为：持续监控路由器系统日志，重点关注可疑命令执行模式，及时发现攻击尝试；

限制管理接口暴露：非必要情况下，避免将路由器管理接口暴露在公网环境。

五、 时间线

2026 年 01 月 26 日：中国国家信息安全漏洞共享平台（CNNVD）收录该漏洞，分配编号 CNNVD-202601-4348。

2026 年 01 月 28 日：CNNVD 对该漏洞信息进行更新。

六、 相关链接

https://www.tp-link.com/en/support/download/archer-mr600/#Firmware

欢迎收藏并分享朋友圈，让五邑人网络更安全

欢迎扫描关注我们，及时了解最新安全动态、学习最潮流的安全姿势！

推荐文章

1

新永恒之蓝？微软SMBv3高危漏洞（CVE-2020-0796）分析复现

2

重大漏洞预警：ubuntu最新版本存在本地提权漏洞（已有EXP）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：邑安全 邑安科技 邑安科技《TP-Link Archer MR600 v5 命令注入漏洞预警（CVE-2025-14756）》