Предупреждение по безопасности: Внедрение строки формата с аутентификацией на устройстве Tapo C110 (CVE-2026-6250).

Описание уязвимости и воздействия:

CVE-2026-6250

В сервисе ONVIF устройства Tapo C110 v2 существует аутентифицированная уязвимость форматной строки, вызванная некорректной обработкой пользовательского ввода. Внешние управляемые данные интерпретируются как форматная строка, что может быть использовано для манипуляции стековой памятью, включая данные управления потоком выполнения, такие как обратные адреса.

Удаленный аутентифицированный злоумышленник может перенаправить поток выполнения на существующие внутренние функции, инициировав несанкционированный сброс к заводским настройкам, что приведет к потере конфигурации, удалению сохраненных учетных данных и нарушению обслуживания.

Оценка CVSS v4.0: 7.0 / Высокая

CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N

Затронутые продукты/версии и исправления:

Рекомендации:

Мы настоятельно рекомендуем пользователям с затронутыми устройствами выполнить следующие действия:

1. Следуйте инструкциям для обновления до последней версии прошивки, чтобы устранить уязвимости:

US (США): Загрузки для Tapo C110 | TP-Link

EN (Английский): Загрузки для Tapo C110 | TP-Link

KR (Корейский): Загрузки для Tapo C110 | TP-Link Республика Корея

Отказ от ответственности:

Настоящее уведомление предоставлено исключительно в информационных целях и может быть изменено без предварительного уведомления. Информация предоставляется «как есть» без каких-либо гарантий. TP-Link рекомендует клиентам незамедлительно применять доступные обновления прошивки или внедрять задокументированные обходные решения, указанные в данном уведомлении. Устройства/системы, которые не были обновлены или защищены описанным образом, могут оставаться уязвимыми, и TP-Link не несёт ответственности за любые убытки или ущерб, возникшие в результате невыполнения таких обновлений.