В мае 2024 года исследователь под псевдонимом Mehrun сообщил о критической уязвимости в ряде маршрутизаторов TP-Link. Официальный ответ компании последовал лишь в сентябре 2025 года — спустя 17 месяцев. На данный момент исправление доступно только для устройств с европейскими версиями прошивок. Роутеры, предназначенные для других регионов, включая Россию, остаются уязвимыми.

Уязвимость затрагивает реализацию протокола CWMP (CPE WAN Management Protocol), применяемого для удалённого управления устройством. Эксплуатация позволяет злоумышленнику получить полный контроль над сетью: перехватывать незашифрованный трафик, изменять настройки DNS, а также получать доступ к паролям, передаваемым без шифрования. Риск возрастает, если пользователь не изменил заводской пароль администратора.

К числу затронутых моделей относятся:

• Archer AX10 (ревизии V1, V1.2, V2, V2.6) с прошивками версий 1.3.2, 1.3.8, 1.3.9, 1.3.10;
• Archer AX1500;
• EX141;
• Archer VR400;
• TD-W9970.

Все перечисленные устройства на момент публикации были доступны для покупки в российской розничной сети и на крупных маркетплейсах по цене от 2500 до 7500 рублей.

TP-Link подтверждает, что уязвимость находится в стадии анализа. Официального идентификатора CVE ей пока не присвоено. В качестве временных мер компания рекомендует:

• сменить стандартный пароль администратора;
• отключить протокол CWMP, если он не используется;
• установить последнюю доступную версию прошивки;
• воздержаться от использования уязвимых моделей в критически важных сетях.

Финансовые показатели TP-Link в России в 2024 году зафиксировали снижение выручки на 35% по сравнению с 2023 годом — до 6,69 млрд рублей. Чистая прибыль сократилась на 52,4%, составив 830,56 млн рублей.