TP-Link’in VIGI güvenlik kamerası serisini etkileyen, yerel ağlardaki saldırganların izinsiz olarak yönetici kimlik bilgilerini sıfırlamasına olanak tanıyan kritik bir kimlik doğrulama güvenlik açığı ortaya çıktı.
CVE-2026-0629 olarak takip edilen kusur, kameranın web arayüzü şifre kurtarma işlevinde bulunuyor ve CVSS v4.0’da 8,7 puan taşıyor, bu da ciddiyetinin yüksek olduğunu gösteriyor.
Kimlik doğrulama atlama kusuru, parola kurtarma özelliğindeki istemci tarafı durum manipülasyonunun uygunsuz olmasından kaynaklanmaktadır.
Yerel alan ağındaki (LAN) saldırganlar, herhangi bir doğrulama olmaksızın yönetici şifresini sıfırlamak için bu zayıflıktan yararlanabilir ve etkilenen cihaza tam yönetim erişimi sağlayabilir.
| CVE Kimliği | Satıcı | Ürün | Güvenlik Açığı Türü | CVSS v4.0 | Saldırı Vektörü |
|---|---|---|---|---|---|
| CVE-2026-0629 | TP-Link | VIGI Kameralar (Çoklu Seri) | Şifre Kurtarma Aracılığıyla Kimlik Doğrulamayı Atlatma | 8.7 | Bitişik Ağ (LAN) |
Güvenlik açığı, yükseltilmiş ayrıcalıklar, kullanıcı etkileşimi veya ağ düzeyinde saldırı gerektirmediğinden, LAN bağlantısı olan herhangi bir kullanıcı için kolaylıkla kullanılabilir hale geliyor.
Tavsiye niteliğindeki belgelere göre, CVSS v4.0 puanlama vektörü (4.0/AV: A/AC: L/AT: N/PR: N/UI: N/VC:H/VI:H/VA:H/SC: N/SI: N/SA: N).
Saldırganlar, düşük saldırı karmaşıklığıyla bitişik ağ erişimi yoluyla gizlilik, bütünlük ve kullanılabilirlik açısından yüksek etkili tavizler verebilir.
Başarılı bir şekilde yararlanma, saldırganların etkilenen VIGI kameralarının tam kontrolünü ele geçirmesine, yapılandırma değişikliklerine olanak sağlamasına ve güvenlik özelliklerini devre dışı bırakmasına olanak tanır.
Kaydedilen görüntülere erişim veya güvenliği ihlal edilmiş cihazların yanal ağ hareketi için pivot noktaları olarak kullanılması. Kritik gözetim altyapısında VIGI kameraları bulunan kuruluşlar, önemli operasyonel ve güvenlik riskleriyle karşı karşıyadır.
Güvenlik açığı, popüler Cx45, Cx55, Cx85 ve InSight serisi çeşitleri de dahil olmak üzere 28 farklı VIGI kamera serisini kapsayan geniş bir ürün portföyünü etkiliyor.
Yaygın etki, tüm kurumsal dağıtımlarda anında yama uygulanmasını gerektirir.
Etkilenen Ürünler ve Azaltıcı Önlemler
| Ürün Serisi | Modeller | Sabit Sürüm |
|---|---|---|
| VIGI Cx45 | C345, C445 | ≥ 3.1.0 Derleme 250820 Rel.57668n |
| VIGI Cx55 | C355, C455 | ≥ 3.1.0 Derleme 250820 Rel.58873n |
| VIGI Cx85 | C385, C485 | ≥ 3.0.2 Derleme 250630 Rel.71279n |
| VIGI C340S | C340S | ≥ 3.1.0 Derleme 250625 Rel.65381n |
| VIGI C540S | C540S, EasyCam C540S | ≥ 3.1.0 Derleme 250625 Rel.66601n |
| Vigi Insight sx4 | S245, S345, S445 | ≥ 3.1.0 Derleme 250820 Rel.57668n |
| Vigi Insight sx5 | S355, S455 | ≥ 3.1.0 Derleme 250820 Rel.58873n |
Etkilenen tüm ürün çeşitlerine ilişkin eksiksiz yama bilgilerine TP-Link’in resmi destek kanallarından ulaşılabilir.
TP-Link, etkilenen tüm cihaz modellerinde güvenlik açığını gideren ürün yazılımı güncellemeleri yayınladı. Kuruluşların en son ürün yazılımı sürümlerini İndirme Merkezi aracılığıyla hemen indirmesi ve dağıtması gerekir.
Uyarı, cihazların yama uygulanana kadar savunmasız kalacağını vurguluyor ve TP-Link, önerilen güvenlik güncellemelerinin uygulanmamasından kaynaklanan olaylar için hiçbir sorumluluk kabul etmiyor.
Kullanıcılar yamalara bölgeye özel indirme merkezleri aracılığıyla erişebilir:
| Bölge | Portalı İndir |
|---|---|
| Amerika Birleşik Devletleri | vigi.com/us/support/download/ |
| Küresel (İngilizce) | vigi.com/en/support/download/ |
| Hindistan | vigi.com/in/support/download/ |
CVE-2026-0629, TP-Link VIGI gözetim altyapısını kullanan kuruluşlar için önemli bir güvenlik riskini temsil ediyor. Kullanım kolaylığı, etkilenen kapsamlı ürün yelpazesiyle birleştiğinde, ürün yazılımı güncellemelerinin anında yapılmasını sağlar.
Ağ güvenliği duruşunu sürdürmek ve gözetim sistemlerine yetkisiz yönetici erişimini önlemek için kritik bir öncelik.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
