ក្រុមអ្នកស្រាវជ្រាវរកឃើញកំហុសឆ្គង zero-day នៅក្នុងការដំឡើង TP-Link Wi-Fi ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយអាចទទួលការត្រួតពិនិត្យពេញលេញលើឧបករណ៍និងប្រតិបត្តិពាក្យបញ្ជាក្នុងសិទ្ធិអ្នកប្រើ។ភាពងាយរងគ្រោះនេះអាចត្រូវតាមដានតាម CVE-២០១៩-៧៤០៦ ហើយវាមានផលប៉ះពាល់ដល់ម៉ូដែលដូចខាងក្រោម: RE៦៥០, RE៣៥០, RE៣៦៥ និង RE៥០០។

ដូចនឹង Router ផ្សេងទៀតដែរ កម្មវិធីពង្រីកក៏ដំណើរការលើស្ថាបត្យកម្ម MIPS ។ អ្នកវាយប្រហារអាចទាញយកភាពងាយរងគ្រោះដោយការបញ្ជូនសំណើរ HTTP ដែលមិនត្រឹមត្រូវដោយមិនតម្រូវអោយចូលមើល/ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវទៅឧបករណ៍ពង្រីក Wi-Fi ទេ។ការព្រួយបារម្ភតែមួយគត់នៅទីនេះគឺការរៀបចំបណ្តាញសម្រាប់អ្នកវាយប្រហារដើម្បីបង្កើតការតភ្ជាប់ជាមួយឧបករណ៍ពង្រីក។ ប្រសិនបើនរណាម្នាក់ត្រូវភ្ជាប់ទៅបណ្តាញគោលដៅរួចហើយនោះ ពួកគេអាចចូលទៅកាន់ឧបករណ៍យ៉ាងងាយស្រួល។

ក្រុមអ្នកស្រាវជ្រាវរបស់ក្រុមហ៊ុន IBM X-Force ធ្វើប្រតិបត្តិការដោយជោគជ័យលើពាក្យបញ្ជាសែលនៅលើឧបករណ៍ពង្រីក Wi-Fi RE៣៦៥។ ពួកគេក៏មើលឃើញប៉ារ៉ាម៉ែត្រសំណើពីឧបករណ៍សម្របសម្រួលយ៉ាងពេញលេញផងដែរ។ ប៉ារ៉ាម៉ែត្ររួមបញ្ចូលភ្នាក់ងារអ្នកប្រើជាក់លាក់; កម្មវិធីរុករកប្រើដើម្បីចូលប្រើឧបករណ៍ពង្រីក។ដោយបង្កើតការតភ្ជាប់លើច្រក៤៤៤៤ “ពួកវាអាចទទួលនូវការចូលដំណើរការកម្រិតដើមពេញលេញទៅអ្នកពង្រីកដោយគ្មានការដំឡើងសិទ្ធិណាមួយដោយដំណើរការទាំងអស់កំពុងរត់ជា root ។ “

ភាពងាយរងគ្រោះនេះប៉ះពាល់ដល់អ្នកប្រើដែលចាប់ផ្តើមពីការប្រើក្នុងផ្ទះទៅដល់អ្នកប្រើសាជីវកម្មហើយអនុញ្ញាតឱ្យអ្នកវាយប្រហារផ្ញើសំណើមិនត្រឹមត្រូវទៅឧបករណ៍ពង្រីកដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលសិទ្ធិដែលមិនមានការទទួលស្គាល់។TP-Link ចេញផ្សាយការជួសជុលដើម្បីដោះស្រាយកំហុសប្រតិបត្តិកូដពីចម្ងាយ CVE-២០១៩-៧៤០៦ សម្រាប់ម៉ូដែលដែលរងផលប៉ះពាល់។ ដូចគ្នានេះផងដែរ TP-Link បញ្ជាក់ថាគ្មានម៉ូដែលផ្សេងទៀតត្រូវរងផលប៉ះពាល់ទេ។អ្នកប្រើត្រូវផ្ដល់អនុសាសន៍ឱ្យធ្វើបច្ចុប្បន្នភាពកម្មវិធីបង្កប់របស់ពួកគេ: គំរូ RE៣៦៥, ម៉ូដែល RE៥០០, ម៉ូដែល RE៦៥០ និងម៉ូដែល RE៣៥០។