Authenticated RCE via Parental Control command injection

Un atacante autenticado puede ejecutar comandos arbitrarios en routers TP-Link (Archer C7(EU) V2 y TL-WR841N/ND(MS) V9) a través de una falla de inyección de comandos en la página de Control Parental. Esto permite comprometer completamente el router si el atacante obtiene acceso a la interfaz de administrador.

Vulnerabilidad de inyección de comandos en la funcionalidad de Control Parental permite que usuarios autenticados inyecten y ejecuten comandos arbitrarios del sistema operativo mediante parámetros no sanitizados. El ataque requiere credenciales administrativas válidas y afecta versiones de firmware anteriores a 241108; la explotación resulta en ejecución remota de código con privilegios del router.