Google安全工程師Matthew Garrett 公開了普聯（TP-Link）SR20智能家庭路由器允許來自本地網絡連接的任意命令執行漏洞。他在90天前就通知了普聯，但至今沒有收到任何回應，因此現在正式公開。他公開了PoC漏洞利用代碼，允許用戶在設備上以root權限執行任意命令。

 Garrett 稱，普聯的設備調試協議TP-Link Device Debug Protocol 以前就發現過多個漏洞，其中協議版本1 不需要密碼。

他說，SR20仍然暴露了部分版本1的命令，其中一些可作為配置驗證。用戶只需要發送一個文件名，一個分號和一個參數。路由器收到請求之後會將其導入到Lua解釋器，以root權限運行，並將參數發送到導入文件的config_test()函數。

因為解釋器有root 權限，用戶可以執行任意命令。不過由於默認的防火牆防止了網絡訪問，因此該漏洞只能在本地觸發。