Click to skip the navigation bar
Search Online store
Search Online store Menu

Avis de sécurité concernant de multiples vulnérabilités sur les Tapo C220.v1 et C520WS.v2 (CVE-2026-0918, CVE-2026-0919 et CVE-2026-1315)

Avis de Sécurité
Mis à jour01-28-2026 08:27:38 AM Number of views for this article832

Description des vulnérabilités et des impacts :

CVE-2025-0918 : Déréférencement de pointeur nul dans le service HTTP Tapo SmartCam

Le service HTTP de la caméra ne gère pas correctement les requêtes POST contenant un en-tête Content-Length excessivement long. L'allocation mémoire défaillante qui en résulte provoque une déréférencement de pointeur NULL, entraînant le plantage du processus principal du service.

Un attaquant non authentifié peut provoquer des pannes répétées du service, entraînant une interruption temporaire de service. L'appareil redémarre automatiquement et des requêtes répétées peuvent le rendre indisponible.

CVE-2025-0919 : Attaque par déni de service non authentifiée via une URL surdimensionnée dans l’analyseur HTTP

L'analyseur HTTP gère incorrectement les requêtes contenant un chemin d'URL excessivement long. Une erreur d'URL invalide se poursuit par un code de nettoyage qui suppose l'existence de tampons alloués, ce qui entraîne un plantage et le redémarrage du service.

Un attaquant non authentifié peut provoquer des pannes de service ou des redémarrages d'appareils répétés, entraînant un déni de service.

CVE-2025-1315 : Déni de service non authentifié via un point de terminaison de mise à jour du firmware

En envoyant des fichiers spécialement conçus au point de terminaison de mise à jour du firmware, l'appareil interrompt les services système principaux avant de vérifier l'authentification ou l'intégrité du firmware.

Un attaquant non authentifié peut déclencher une attaque par déni de service persistante, nécessitant un redémarrage manuel ou un redémarrage initié par l'application pour rétablir le fonctionnement normal de l'appareil.

Les vulnérabilités mentionnées ci-dessus ont les mêmes scores CVSS :

Score CVSS v4.0 : 7,1 / Élevé

CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Produits/Versions concernés et correctifs :

Modèle de produit concerné

Version concernée

Tapo C220 v1

Tapo C520WS v2

< 1.4.2 Build 251112

<1.2.3 Build 251114

 

Recommandations :

Nous recommandons vivement aux utilisateurs possédant des appareils concernés de prendre les mesures suivantes :

  1. Téléchargez et installez la dernière version du firmware pour corriger les vulnérabilités. en suivant la FAQ dédiée  : Comment mettre à jour le firmware des appareils Tapo via l'application Tapo ?

Liens vers les pages support des produits concernés :

https://www.tp-link.com/en/support/download/tapo-c220/v1/
https://www.tp-link.com/en/support/download/tapo-c520ws/v2/

Clause de non-responsabilité:

Si vous ne prenez pas toutes les mesures recommandées, cette vulnérabilité persistera. TP-Link décline toute responsabilité quant aux conséquences qui auraient pu être évitées en suivant ces recommandations.

Est-ce que ce FAQ a été utile ?

Vos commentaires nous aideront à améliorer ce site.

Ce site Web utilise des cookies pour améliorer la navigation sur le site Web, analyser les activités en ligne et offrir aux utilisateurs la meilleure expérience sur notre site Web. Vous pouvez vous opposer à tout moment à l'utilisation de cookies. Vous pouvez obtenir plus d'informations dans notre politique de confidentialité .

Your Privacy Choices

Ce site Web utilise des cookies pour améliorer la navigation sur le site Web, analyser les activités en ligne et offrir aux utilisateurs la meilleure expérience sur notre site Web. Vous pouvez vous opposer à tout moment à l'utilisation de cookies. Vous pouvez obtenir plus d'informations dans notre politique de confidentialité .

Ces cookies sont nécessaires au fonctionnement du site Web et ne peuvent pas être désactivés dans vos systèmes.

Les cookies d'analyse nous permettent d'analyser vos activités sur notre site Web pour améliorer et ajuster les fonctionnalités de notre site Web.

Les cookies marketing peuvent être définis via notre site Web par nos partenaires publicitaires afin de créer un profil de vos intérêts et pour vous montrer des publicités pertinentes sur d'autres sites Web.