美国网络安全与基础设施安全局CISA将两项影响TP-Link路由器的漏洞纳入已知高风险漏洞（Known Exploited Vulnerabilities，KEV）名单，分别为CVE-2023-50224与CVE-2025-9377。

CISA表示，这些漏洞已出现实际攻击迹象，要求联邦文职行政部门（Federal Civilian Executive Branch，FCEB）必须在9月24日前按照厂商指引完成修补。当无法修补时，应采取缓解措施或停用受影响设备。同时，CISA也呼吁一般组织将KEV列为漏洞管理的优先处理项目，以降低系统暴露风险。

CVE-2025-9377：操作系统命令注入漏洞

CVE-2025-9377属于操作系统命令注入漏洞，影响Archer C7（EU）V2与TL-WR841N/ND（MS）V9型号的家长控制页面。该漏洞为已验证且需高权限的远程命令执行漏洞。当攻击者拥有管理权限时，可在设备上执行任意系统命令。

CVE-2023-50224：身份验证绕过漏洞

另一项漏洞CVE-2023-50224影响TL-WR841N型号，属于身份验证绕过问题，出现在默认监听TCP端口80的httpd服务。攻击者可在无需身份验证的情况下，通过该服务窃取设备中存储的凭证信息。

CISA要求严格执行漏洞修复

根据CISA发布的BOD 22-01指令，所有被列入KEV目录的漏洞均被视为已被实际利用，并对联邦企业环境构成重大风险。FCEB机构必须在CISA规定的期限内完成修复或采取替代措施，以保障网络安全。

虽然该指令仅适用于联邦机构，但CISA建议所有企业和组织参照执行，将KEV漏洞纳入日常修补计划与风险管理流程，防止因管理界面暴露或访问控制不足而遭受攻击。