Neben der kritischen Authentifizierungslücke hat TP-Link mit den Updates weitere Schwachstellen ausgeräumt. So wurde ein fest einprogrammierter kryptografischer Schlüssel (CVE-2025-15605) aus dem Konfigurationsmechanismus entfernt. Über ihn konnten authentifizierte Angreifer Konfigurationsdateien entschlüsseln, verändern und anschließend wieder verschlüsseln.

Hinzu kommen zwei Schwachstellen für Befehlsinjektion (CVE-2025-15518 und CVE-2025-15519). Sie ermöglichen es Angreifern mit Administratorrechten, beliebige Befehle auszuführen.

Der aktuelle Fall reiht sich in eine Reihe von Sicherheitsproblemen bei TP-Link ein. Im September musste das Unternehmen kurzfristig Patches für eine Zero-Day-Schwachstelle in mehreren Router-Modellen nachliefern, nachdem auf eine Meldung vom Mai 2024 zunächst keine Korrektur gefolgt war. Die ungepatchte Lücke erlaubte es Angreifern, unverschlüsselten Datenverkehr abzufangen oder zu manipulieren, DNS-Anfragen auf bösartige Server umzuleiten und schädliche Inhalte in Web-Sitzungen einzuschleusen.

Ebenfalls im September nahm die US-Behörde CISA zwei weitere TP-Link-Schwachstellen (CVE-2023-50224 und CVE-2025-9377) in ihren Katalog bekannter ausgenutzter Schwachstellen auf. Sie werden vom Botnetz Quad7 ausgenutzt, um verwundbare Router zu kompromittieren. Insgesamt hat die Behörde sechs TP-Link-Schwachstellen als in Angriffen ausgenutzt markiert; die älteste ist eine Directory-Traversal-Lücke (CVE-2015-3035), die mehrere Archer-Geräte betrifft.

Darüber hinaus steht das Unternehmen rechtlich und regulatorisch unter Druck. Der texanische Generalstaatsanwalt Paxton verklagte TP-Link Systems im Februar und wirft dem Hersteller vor, seine Router irreführend als sicher beworben und es zugleich chinesischen staatlich unterstützten Hackergruppen ermöglicht zu haben, Firmware-Schwachstellen auszunutzen und auf Geräte von Nutzern zuzugreifen.

In dieser Woche aktualisierte zudem die US-Telekommunikationsbehörde FCC ihre sogenannte Covered List und nahm darin alle im Ausland gefertigten Consumer-Router auf. Damit untersagt sie den Verkauf neuer Router, die außerhalb der USA hergestellt werden, und begründet dies mit einem “inakzeptablen Risiko für die nationale Sicherheit”.