BDU:2026-01856

Опубликовано: 11 фев. 2026

Источник: fstec

CVSS3: 6.5

CVSS2: 5.2

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения IP-камеры TP-Link Tapo C260 связана с неверным ограничением имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

TP-Link Technologies Co Ltd.

Наименование ПО

Tapo C260

Версия ПО

до 1.1.9 (Tapo C260)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,2)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,5)

Средний уровень опасности (оценка CVSS 4.0 составляет 5,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.tp-link.com/us/support/faq/4960/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2026-0651
CVE

EPSS

Процентиль: 22%

0.00303

Низкий

6.5 Medium

CVSS3

5.2 Medium

CVSS2

Связанные уязвимости

CVE-2026-0651

CVSS3: 7.8

nvd

5 месяцев назад

A path traversal vulnerability was identified TP-Link Tapo C260 v1, D235 v1 and C520WS v2.6 within the HTTP server’s handling of GET requests. The server performs path normalization before fully decoding URL encoded input and falls back to using the raw path when normalization fails. An attacker can exploit this logic flaw by supplying crafted, URL encoded traversal sequences that bypass directory restrictions and allow access to files outside the intended web root. Successful exploitation may allow authenticated attackers to get disclosure of sensitive system files and credentials, while unauthenticated attackers may gain access to non-sensitive static assets.

GHSA-c348-hjj9-x39v