Omada Cloud 컨트롤러의 허용성 높은 웹 보안 정책으로 인한 Cross Origin 액세스 제한 우회 및 모바일 애플리케이션의 인증서 검증 취약점으로 인한 중간자 공격에 관한 보안 권고사항 (CVE-2025-9292, CVE-2025-9293)
2947 취약점 및 영향 설명:
CVE-2025-9292: Omada Cloud 컨트롤러의 허용성 높은 웹 보안 정책으로 인한 Cross origin 액세스 제한 우회
Omada 클라우드 컨트롤러의 허용성 높은 웹 보안 설정으로 인해 최신 브라우저에서 요구하는 Cross origin 제한이 특정 환경에서 우회될 수 있습니다. 기존 클라이언트 측에 인젝션 취약점이 존재하고 영향을 받는 웹 인터페이스에 사용자가 접근할 수 있으면 취약점이 악용될 수 있습니다.
취약점 공격에 성공하면 민감 정보가 무단으로 유출될 수 있습니다.
CVSS v4.0 점수: 2.0/낮음
CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
CVE-2026-9293: 모바일 애플리케이션의 인증서 검증 취약점으로 인한 중간자 공격
인증서 유효성 검사 로직의 취약점으로 인해 TLS 통신 중 애플리케이션이 신뢰할 수 없거나 부적절하게 인증된 서버 신원을 수락할 수 있습니다. 그 결과, 다른 트래픽을 관찰 가능한 네트워크에 있는 공격자가 자신의 위치를 통신 채널 내에 설정하여 트래픽을 가로채거나 조작할 수 있습니다.
취약점 공격에 성공하면 애플리케이션 데이터의 기밀성, 무결성, 가용성이 침해될 수 있습니다.
CVSS v4.0 점수: 7.7/높음
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:L/SI:N/SA:N
영향을 받는 제품/버전 및 수정된 버전:
|
영향을 받는 애플리케이션 |
영향을 받는 버전 |
|
Tapo |
< 3.14.111 |
|
Kasa |
< 3.4.350 |
|
Omada |
< 4.25.25 |
|
Omada Guard |
< 1.1.28 |
|
Tether |
< 4.12.27 |
|
Deco |
< 3.9.163 |
|
Aginet |
< 2.13.6 |
|
tpCamera |
< 3.2.17 |
|
WiFi Toolkit |
< 1.4.28 |
|
Festa |
< 1.7.1 |
|
Wi-Fi Navi |
< 1.5.5 |
|
KidShield |
< 1.1.21 |
|
TP-Partner |
< 2.0.1 |
|
VIGI |
< 2.7.70 |
권장 사항:
영향을 받는 장치/앱을 보유한 사용자는 다음 조치를 취할 것을 강력히 권장합니다:
- CVE-2025-9292 관련:
Omada Cloud는 TP-Link가 검증을 마친 후에 클라우드 환경에 업데이트가 자동 적용되므로 사용자의 조치가 필요하지 않습니다.
- CVE-2025-9293의 경우:
영향을 받는 모바일 애플리케이션을 사용한다면 다음 조치를 수행하십시오:
- Google Play Store 실행
- 애플리케이션 업데이트 가능 여부 확인
- 애플리케이션을 최신 버전으로 업데이트 (상기 내용 참조)
참고: iOS 애플리케이션은 영향을 받지 않습니다.
주의사항:
상기 권고 조치를 실행하지 않으면 해당 취약점이 지속될 수 있습니다. 이 공지사항의 권고 조치를 따르지 않아 발생하는 결과의 책임은 TP-Link가 아닌 사용자에게 귀속됩니다.
해당 FAQ가 유용했나요?
여러분의 의견은 사이트 개선을 위해 소중하게 사용됩니다.