Aviso de segurança sobre a política de segurança web permissiva que permite a violação do controle de acesso de origem cruzada (COAC) nos controladores da Omada Cloud e validação insuficiente de certificados em vários aplicativos móveis, permitindo interceptação por ataque Man-in-the-Middle (CVE-2025-9292 e CVE-2025-9293).
Descrição de Vulnerabilidades e Impactos:
CVE-2025-9292: Política de Segurança Web Permissiva Permite a Violação do Controle de Acesso de Origem Cruzada (CORS) em Controladores de Nuvem Omada
Uma configuração de segurança web permissiva em controladores de nuvem Omada pode permitir que restrições de origem cruzada aplicadas por navegadores modernos sejam ignoradas sob circunstâncias específicas. A exploração requer a presença de uma vulnerabilidade de injeção no lado do cliente (client-side injection) existente e o acesso do usuário à interface web afetada.
A exploração bem-sucedida pode permitir a divulgação não autorizada de informações sensíveis.
Pontuação CVSS v4.0: 2.0 / Baixa
CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
CVE-2026-9293: Validação de Certificado Insuficiente em Múltiplos Aplicativos Móveis Permite Interceptação do Tipo Man-in-the-Middle (Homem no Meio)
Uma vulnerabilidade na lógica de validação de certificados pode permitir que os aplicativos aceitem identidades de servidor não confiáveis ou validadas incorretamente durante a comunicação TLS. Um invasor em uma posição privilegiada na rede pode ser capaz de interceptar ou modificar o tráfego se conseguir se posicionar dentro do canal de comunicação.
A exploração bem-sucedida pode comprometer a confidencialidade, integridade e disponibilidade dos dados do aplicativo.
Pontuação CVSS v4.0: 7.7 / Alta
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:L/SI:N/SA:N
Produtos/Versões Afetados e Correções:
|
Aplicativos Afetados |
Versão Afetada |
|
Tapo |
< 3.14.111 |
|
Kasa |
< 3.4.350 |
|
Omada |
< 4.25.25 |
|
Omada Guard |
< 1.1.28 |
|
Tether |
< 4.12.27 |
|
Deco |
< 3.9.163 |
|
Aginet |
< 2.13.6 |
|
tpCamera |
< 3.2.17 |
|
WiFi Toolkit |
< 1.4.28 |
|
Festa |
< 1.7.1 |
|
Wi-Fi Navi |
< 1.5.5 |
|
KidShield |
< 1.1.21 |
|
TP-Partner |
< 2.0.1 |
|
VIGI |
< 2.7.70 |
Recomendações:
Recomendamos fortemente que os usuários com dispositivos afetados tomem as seguintes ações:
- Para CVE-2025-9292:
Nenhuma ação do usuário é necessária para implementações na Nuvem Omada, pois as atualizações são aplicadas automaticamente ao ambiente de nuvem assim que validadas pela TP-Link.
- Para CVE-2026-9293:
Os usuários dos aplicativos móveis afetados devem:
- Abrir a Google Play Store
- Verificar se há atualizações disponíveis
- Instalar a versão mais recente do aplicativo (veja detalhes acima)
Nota: Aplicativos iOS não são afetados.
Isenção de Responsabilidade:
Se você não tomar todas as ações recomendadas, esta vulnerabilidade permanecerá. A TP-Link não pode assumir qualquer responsabilidade por consequências que poderiam ter sido evitadas ao seguir este comunicado.
Procurando por mais
Esta FAQ é útil?
Seu feedback ajuda a melhorar este site.
TP-Link Community
Still need help? Search for answers, ask questions, and get help from TP-Link experts and other users around the world.