TP-Link a récemment corrigé plusieurs failles de sécurité dans sa série de routeurs Archer NX, dont une vulnérabilité jugée critique, susceptible de permettre à des attaquants de contourner l’authentification et de charger un nouveau firmware.
Identifiée sous la référence CVE-2025-15517, cette faille concerne les modèles Archer NX200, NX210, NX500 et NX600. Le problème résulte d’une absence de vérification d’authentification, exploitée par des attaquants sans avoir besoin de privilèges.
Selon TP-Link, « une vérification d’authentification manquante dans le serveur HTTP pour certains points d’API CGI permet un accès non authentifié, prévu pour les utilisateurs authentifiés. »
Cette vulnérabilité donne accès à certaines actions HTTP privilégiées sans nécessité d’authentification, comme l’upload de firmware et des opérations de configuration.
TP-Link a également supprimé une clé cryptographique intégrée (référence CVE-2025-15605) dans son mécanisme de configuration, ce qui permettait à des attaquants authentifiés de décrypter, de modifier et de ré-encrypter des fichiers de configuration.
En parallèle, deux autres vulnérabilités d’injection de commandes ont été corrigées (CVE-2025-15518 et CVE-2025-15519), permettant à des acteurs malveillants possédant des privilèges administratifs d’exécuter des commandes arbitraires.
TP-Link a fortement conseillé à ses utilisateurs de télécharger et d’installer la version la plus récente du firmware afin de se protéger contre ces menaces potentielles.
Le rôle de l’utilisateur est crucial ; si aucune des actions recommandées n’est entreprise, la vulnérabilité restera présente. TP-Link a précisé qu’il ne pourrait être tenu responsable des conséquences évitables en suivant cet avis.
En septembre, l’entreprise avait déjà dû déployer des correctifs pour une vulnérabilité à jour zéro impactant plusieurs modèles de routeurs, après ne pas avoir réussi à mettre à jour des failles signalées en mai 2024. Cette faille non corrigée exposait les utilisateurs à des risques d’interception ou de manipulation de trafic non chiffré, de redirection de requêtes DNS vers des serveurs malveillants et d’injection de charges utiles malveillantes dans des sessions web.
La CISA a également ajouté en septembre deux autres failles de TP-Link (CVE-2023-50224 et CVE-2025-9377) à son catalogue des vulnérabilités connues exploitées, révélant que le botnet Quad7 les utilise pour compromettre des routeurs vulnérables.
Au total, l’agence américaine de cybersécurité a identifié six vulnérabilités de TP-Link comme étant exploitées dans des attaques, la plus ancienne étant une vulnérabilité de traversée de répertoire (CVE-2015-3035) touchant divers appareils Archer.
En février, le procureur général du Texas, Paxton, a intenté une action en justice contre TP-Link Systems, accusant la société de promouvoir de manière trompeuse ses routeurs comme étant sécurisés tout en laissant des groupes de hackers soutenus par l’État chinois exploiter des failles dans le firmware et accéder aux dispositifs des utilisateurs.