在广受欢迎的 TP-Link 路由器中，已发现多个漏洞，由于其 Web 管理界面存在 SQL 注入缺陷，这些漏洞使用户面临严重的安全风险。

这些漏洞是由安全研究员 “The Veteran” 发现的，它使得远程攻击者能够绕过身份验证，在无需有效凭据的情况下对设备进行未经授权的控制。

TP-Link 路由器漏洞概述

CVE-2025-29648：TP-Link EAP120 SQL 注入漏洞

此漏洞影响 TP-Link EAP120 路由器（版本 1.0）。其登录仪表板未能正确清理身份验证字段中的用户输入。

因此，未经身份验证的攻击者可以通过这些字段注入恶意的 SQL 语句。

一旦成功利用该漏洞，攻击者就能够绕过身份验证，并有可能获取设备的管理员访问权限。

CVE-2025-29649：TP-Link TL-WR840N SQL 注入漏洞

TP-Link TL-WR840N 路由器（版本 1.0）也容易受到类似的 SQL 注入缺陷的影响。

登录仪表板接受在用户名和密码字段中未经清理的输入，这使得未经身份验证的攻击者能够注入任意的 SQL 代码。

这可以绕过登录控制，在没有有效凭据的情况下访问路由器的管理界面。

CVE-2025-29650：TP-Link M7200 4G LTE 移动无线路由器 SQL 注入漏洞

此漏洞影响运行固件版本 1.0.7 Build 180127 Rel.55998n 的 TP-Link M7200 4G LTE 移动无线路由器。

该设备的登录界面未能正确清理用户名和密码字段中的输入，使得未经身份验证的攻击者能够注入恶意的 SQL 语句。

利用该漏洞可能会导致对路由器管理控制台的未经授权访问。

CVE-2025-29653：TP-Link M7450 4G LTE 移动无线路由器 SQL 注入漏洞

TP-Link M7450 4G LTE 移动无线路由器，特别是固件版本 1.0.2 Build 170306 Rel.1015n，其登录页面上的用户名和密码字段容易受到 SQL 注入攻击。

未经身份验证的攻击者可以利用此缺陷注入任意的 SQL 命令，这有可能导致对设备管理功能的完全控制。

这些漏洞对家庭用户和企业用户都构成了重大的安全风险。一次成功的攻击可能会让攻击者完全控制受影响的路由器，他们有可能会：

1.监控和拦截网络流量。

2.修改 DNS 设置，将用户重定向到恶意网站。

3.将被攻陷的路由器用作攻击其他设备的跳板。

4.访问通过网络传输的敏感信息。

TP-Link 已被告知这些漏洞，但截至本文发布时，尚未确认有安全补丁发布。

在官方修复程序可用之前，安全专家建议采取以下预防措施：

1.更改默认的管理员凭据。

2.禁用远程管理。

3.确保路由器固件更新到最新可用版本。

4.考虑使用网络监控工具来检测异常活动。

受影响设备的用户应关注 TP-Link 的安全公告，以获取即将发布的补丁，并立即采取推荐的安全措施。