A TP-Link divulgou uma vulnerabilidade de gravidade alta (CVE-2026-5509, CVSS 8.5) em seus roteadores Wi-Fi Archer BE450 e BE7200 que permite a execução remota de comandos por meio de injeção de comandos autenticada via interface web de gerenciamento. A falha requer que o atacante possua credenciais de administrador, mas uma vez obtidas, concede controle total sobre o dispositivo de rede.
Injeção de comandos via web
O CVE-2026-5509 é uma vulnerabilidade de injeção de comandos no componente de gerenciamento web dos modelos Archer BE450 v1 e BE7200 v1. Um atacante autenticado como administrador pode injetar comandos do sistema operacional do roteador através de parâmetros manipulados na interface web, obtendo execução arbitrária de código no dispositivo. Com RCE confirmado no roteador, o atacante ganha capacidade de interceptação de tráfego, redirecionamento de DNS, instalação de firmware malicioso e persistência na rede local.
Vulnerabilidades de dispositivos de rede Wi-Fi seguem como alvo prioritário de atacantes por serem pontos centrais de tráfego com privilégios elevados na rede.
Modelos e versões afetados
A TP-Link classificou a vulnerabilidade como de gravidade alta sob o CVSS v4.0, com nota 8.5. Ambos os modelos pertencem à linha Wi-Fi 7 da empresa, voltada a usuários domésticos e pequenos escritórios.
| Modelo | Versão | CVSS v4.0 | Requisito |
|---|---|---|---|
| Archer BE450 | v1 | 8.5 (High) | Acesso admin na interface web |
| Archer BE7200 | v1 | 8.5 (High) | Acesso admin na interface web |
Vetor de ataque
O atacante precisa primeiro obter credenciais de administrador do roteador — seja por força bruta, credentials stuffing ou exploração de uma vulnerabilidade separada que permita bypass da autenticação. Com o acesso admin garantido, o atacante manipula parâmetros de requisições HTTP para a interface de gerenciamento, injetando comandos do sistema operacional embutido (Linux) do roteador. A partir daí, o controle sobre o dispositivo é total, incluindo a capacidade de modificar configurações de roteamento, DNS e firewall. Um roteador comprometido funciona como ponto de persistência na rede, permitindo ao atacante interceptar todo o tráfego que passa pelo equipamento e pivotar para outros dispositivos conectados.
O que fazer agora
Verifique imediatamente se o roteador está na lista de modelos afetados. Acesse a interface de gerenciamento e aplique a atualização de firmware disponível no site da TP-Link. Desabilite o gerenciamento remoto via interface web se não for estritamente necessário. Altere as credenciais padrão de administrador para uma senha forte e única. Monitore logs do roteador por tentativas de login incomuns e considere segmentar a rede local para isolar dispositivos IoT dos equipamentos sensíveis. Casos de vulnerabilidades em equipamentos de rede corporativa exigem resposta imediata para evitar comprometimento em cascata.