Descripción
Se ha detectado una vulnerabilidad de severidad alta en varios dispositivos TP-Link que podrían ejecutarse de forma remota. Esta vulnerabilidad solo afecta a los productos que no reciben soporte de TP-Link.
La vulnerabilidad de severidad alta afecta a una funcionalidad desconocida del archivo /userRpm/WanSlaacCfgRpm.htm, lo que puede provocar un desbordamiento de búfer. El ciberdelincuente puede realizar el ataque de forma remota.
La actuación del atacante provoca que el servicio HTTP se bloquee y se restaure después de reiniciar el dispositivo.
Routers afectados
Modelos | Vulnerabilidades | Versión afectada |
CVE-2025-6151 | <= 160617 | |
CVE-2025-6151 | <= 160325 |
Solución
No existe solución para los dispositivos, ya que, han llegado al final de su vida útil (EOL).
Se recomienda actualizar dispositivo reemplazándolo por otro que disponga de soporte en vigor y poder recibir actualizaciones.
TP-Link en su comunicado no se responsabiliza de las consecuencias que podrían haberse evitado al reemplazar el dispositivo.
Recomendaciones para adminstradores de red
Desde el SOC de Infordisa alertamos sobre una vulnerabilidad crítica descubierta en el router TP-Link Archer C5400X, que permite a atacantes ejecutar comandos remotamente sin necesidad de autenticarse.
- Verificar si el modelo está en uso dentro de la organización o por parte de empleados en teletrabajo.
- Actualizar el firmware de inmediato a la versión parcheada publicada.
- Revisar logs de actividad sospechosa, especialmente conexiones entrantes no autorizadas.
- Si no se puede actualizar inmediatamente, restringir el acceso remoto a la interfaz de administración del router mediante reglas de firewall o VPN.
- Inventariar el hardware de red y evitar el uso de dispositivos de consumo en entornos empresariales críticos.
Esta vulnerabilidad es un recordatorio más de la importancia de mantener todos los dispositivos de red actualizados, incluso los considerados de “uso doméstico”, que muchas veces se utilizan en entornos híbridos.
