美国网络安全与基础设施安全局（CISA，U.S. Cybersecurity and Infrastructure Security Agency）于周三（注：指 2025 年 9 月 3 日）将影响 TP-Link 无线路由器的两个安全漏洞添加至其 “已知被利用漏洞目录”（Known Exploited Vulnerabilities，KEV），并指出有证据表明这些漏洞已在实际场景中被攻击者利用。 涉及的两个漏洞详情如下：

• CVE-2023-50224（CVSS 评分：6.5）：该漏洞为 TP-Link TL-WR841N 路由器 httpd 服务中的 “伪造身份认证绕过漏洞”。该服务默认监听 TCP 80 端口，攻击者可利用此漏洞获取 “/tmp/dropbear/dropbearpwd” 文件中存储的凭证信息。
• CVE-2025-9377（CVSS 评分：8.6）：该漏洞为 TP-Link Archer C7（欧盟版）V2 以及 TL-WR841N/ND（微软版）V9 路由器中的 “操作系统命令注入漏洞”，攻击者可通过此漏洞实现远程代码执行。

漏洞影响范围与厂商响应

根据 TP-Link 官网公布的信息，以下路由器型号已达到 “生命周期终止”（End-of-Life，EoL）状态：

• TL-WR841N（10.0 版本与 11.0 版本）
• TL-WR841ND（10.0 版本）
• Archer C7（2.0 版本与 3.0 版本）

不过，鉴于这些漏洞已出现恶意利用活动，TP-Link 已于 2024 年 11 月针对这两个漏洞发布了固件更新。该公司表示：“受影响产品已达到‘服务终止’（End-of-Service，EOS）状态，不再获得包括安全更新在内的主动支持。为提升防护能力，我们建议用户升级至更新款硬件，以确保设备具备最佳性能与安全性。”

漏洞利用关联与安全建议

目前尚无公开报告明确提及上述漏洞的具体利用案例，但 TP-Link 在上周更新的安全公告中指出，这些漏洞的实际利用活动与名为 “Quad7”（又称 “CovertNetwork-1658”）的僵尸网络有关。该僵尸网络被一个代号为 “Storm-0940” 的中国关联威胁行为者利用，用于实施高度隐蔽的密码喷洒攻击。 鉴于漏洞已被实际利用，美国联邦民事行政部门（FCEB，Federal Civilian Executive Branch）机构被要求在 2025 年 9 月 24 日前采取必要的缓解措施，以保障其网络安全。 值得注意的是，就在此次公告发布的前一天（2025 年 9 月 2 日），CISA 已将另一个影响 TP-Link TL-WA855RE Wi-Fi 信号扩展器的高危漏洞（CVE-2020-24363，CVSS 评分：8.8）添加至 “已知被利用漏洞目录”，理由同样是 “有证据表明该漏洞已被实际利用”。