漏洞概述 漏洞名称: 未授权命令注入(CVE-2026-11834) 漏洞描述: 在多个TP-Link路由器型号的DHCP选项处理逻辑中发现了命令注入漏洞。由于对外部提供的DHCP选项数据的验证不足,攻击者可以通过提供精心构造的DHCP响应,在设备初始化或配置工作流期间执行未授权命令。这通常发生在设备处于出厂默认或未配置状态时。 CVSS评分: 8.7 / High 影响范围 受影响产品: - Archer MR200(EU) V7 - Archer MR402(EU) V1 - Archer VR2100(EU) V1 - Archer C20 V5 - Archer C20 V6 - TL-MR6400(EU) V7 修复方案 推荐措施: 1. 将受影响设备更新到修复该漏洞的最新固件版本。 2. 具体固件下载链接如下: - EN: Download for Archer MR200 - Download for Archer MR402 - Download for TL-MR6400 - Download for Archer VR2100 - Download for Archer C20 - US: Download for Archer C20 注意事项: - Archer MR200, MR402, VR2100, TL-MR400 不在美国销售。 其他信息 免责声明: 该公告仅供参考,TP-Link建议客户及时应用可用的固件更新或实施文档中的变通方法。TP-Link不对因未更新或缓解措施不当导致的任何损害或损失承担责任。 相关链接 相关FAQ: - 如何配置端口安全功能 - WPA2安全KRACKs漏洞声明 - GhostDNS恶意软件安全 更多资源: - 使酒店WiFi安全且易于使用 - 什么是家庭网络安全以及如何保护我的WiFi路由器? 社区支持 TP-Link社区: 提供问答、帮助和支持服务。 --- 总结: 该漏洞涉及多个TP-Link路由器型号,存在未授权命令注入风险。建议用户尽快更新固件以修复漏洞。