TP Link a publié ces derniers jours des correctifs pour 14 vulnérabilités touchant plusieurs routeurs Archer, dont 10 failles sur l’Archer AX53 détaillées par Cisco Talos et 4 autres sur les modèles Archer NX200, NX210, NX500 et NX600, avec à la clé des scénarios de compromission complète de l’équipement.
Cisco Talos a rendu publiques le 26 mars 2026 à 14 h 34 ses recherches sur l’Archer AX53, un routeur Wi Fi bi bande gigabit, après un cycle de divulgation engagé en octobre 2025 et des correctifs déployés par le constructeur dès le début février pour l’AX53 v1.0. Le tableau est chargé, pour ne pas dire embarrassant, puisque 9 défauts relèvent de la sûreté mémoire et 1 d’une mauvaise configuration SSH, l’ensemble pouvant mener à l’exécution de code arbitraire à distance ou à une fuite d’identifiants dans une attaque de type homme du milieu.
Une des failles les plus exposées concerne TALOS 2025 2290, enregistrée sous CVE 2025 62673, qui affecte la fonction de mise à jour du port SSH dans tdpServer. Cisco Talos écrit qu’« un paquet réseau spécialement conçu peut provoquer un débordement de tampon sur la pile », avec un impact qui semble typique des corruptions mémoire exploitables sur routeur grand public, notamment quand le service visé traite des entrées réseau sans garde suffisante.
Huit autres vulnérabilités se concentrent dans l’opcode tmpServer de l’AX53, dont TALOS 2025 2283 avec CVE 2025 59482 pour un buffer overflow, TALOS 2025 2284 avec CVE 2025 62405 pour un stack based buffer overflow, TALOS 2025 2285 avec CVE 2025 59487 pour un write what where, TALOS 2025 2286 avec CVE 2025 61983 pour une écriture hors limites, TALOS 2025 2287 avec CVE 2025 62404 pour un autre débordement sur la pile, TALOS 2025 2288 avec CVE 2025 61944 pour une nouvelle écriture hors limites, TALOS 2025 2289 avec CVE 2025 58455 pour un stack based buffer overflow et TALOS 2025 2294 avec CVE 2025 58077 pour un heap based buffer overflow. Cisco Talos précise qu’« un ensemble spécialement conçu de paquets réseau peut être envoyé pour déclencher ces vulnérabilités », lesquelles peuvent ensuite conduire à l’exécution de code arbitraire.
La dixième faille de la série AX53, TALOS 2025 2291 avec CVE 2025 62501, touche la gestion de la clé d’hôte SSH. Cisco Talos indique qu’« une attaque homme du milieu spécialement conçue peut conduire à une fuite d’identifiants », ce qui replace le problème sur un terrain moins spectaculaire que l’exécution de code, mais souvent rentable pour un attaquant qui vise l’administration du routeur, l’accès au réseau local ou la réutilisation de mots de passe.
TP Link a parallèlement corrigé 4 vulnérabilités de sévérité élevée sur les Archer NX200, NX210, NX500 et NX600. Les références publiées sont CVE 2025 15517, CVE 2025 15518, CVE 2025 15519 et CVE 2025 15605. L’avis du constructeur indique que CVE 2025 15517 permet un contournement d’authentification ouvrant la voie à des opérations telles que le téléversement de firmware ou des modifications de configuration. CVE 2025 15518 et CVE 2025 15519 relèvent de l’injection de commandes avec privilèges administrateur requis. CVE 2025 15605 provient de l’usage d’une clé cryptographique codée en dur pour chiffrer et déchiffrer les fichiers de configuration, ce qui autorise leur altération.
Le calendrier raconte aussi quelque chose du rapport de force habituel entre chercheurs et industriels. TP Link a diffusé les correctifs pour les NX un jour avant la publication technique de Cisco Talos sur l’AX53, tandis que Talos avait signalé les 10 failles de ce dernier en octobre. Cette séquence ne dit pas tout de la qualité du code embarqué, mais elle montre au moins que le constructeur a colmaté avant l’exposition publique détaillée, ce qui réduit sans doute la fenêtre d’exploitation opportuniste pour les équipements effectivement mis à jour.
Les impacts opérationnels restent lourds pour des routeurs qui occupent la bordure du réseau domestique ou de petites structures, là où transitent administration, DNS, sessions chiffrées et parfois segmentation Wi Fi. Une exécution de code sur ce type d’équipement peut permettre la prise de contrôle du trafic, l’implantation de règles malveillantes, la modification des paramètres DNS, l’ouverture d’accès distants ou la collecte d’identifiants. Une fuite via MITM sur SSH peut, elle, nourrir des compromissions en chaîne, surtout quand les secrets d’administration sont réemployés ailleurs.
D’après les éléments publiés, les modèles concernés côté AX53 sont les Archer AX53 v1.0 corrigés début février 2026, tandis que les correctifs pour les Archer NX200, NX210, NX500 et NX600 sont intégrés à de nouveaux firmwares mis en ligne par TP Link. Les utilisateurs et administrateurs ont donc intérêt à vérifier la version exacte du matériel, la révision du firmware et l’exposition des services d’administration, notamment SSH et les fonctions de gestion accessibles depuis le WAN ou des segments peu maîtrisés.
TP Link joue ici une partie très concrète, celle du firmware qui tient la maison numérique debout… et qui, lorsqu’il cède sur des débordements mémoire, des injections de commandes ou une clé codée en dur, rappelle qu’un routeur reste un système exposé avant d’être un simple boîtier posé près de la box.
