Рекомендации по безопасности: уязвимости, связанные с раскрытием информации в Kasa EC70 и EC71 (CVE-2026-9770 и CVE-2026-13230)
TP-Link выявила множественные уязвимости, затрагивающие устройства Kasa EC70 v4 и EC71 v4. При определенных условиях эти уязвимости могут позволить злоумышленникам в локальной сети получить доступ к конфиденциальной информации.
Описание уязвимостей и их последствий:
CVE-2026-9770: Уязвимость раскрытия информации через жестко закодированный криптографический ключ
В образе системы встроен жестко закодированный криптографический ключ, что позволяет злоумышленнику в локальной сети нарушить конфиденциальность обмена данными с веб-интерфейсом управления устройством.
Успешная эксплуатация может позволить злоумышленнику проводить MITM-атаки (атаки «человек посередине»), а также перехватывать или получать учетные данные администратора.
Оценка CVSS v4.0: 8.6 / Высокая
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
CVE-2026-13230: Уязвимость раскрытия информации в ответе локального обнаружения
Механизм локального обнаружения раскрывает конфиденциальную информацию о геолокации без необходимости аутентификации. Эта проблема позволяет злоумышленнику в той же локальной сети получить данные о геолокации с помощью специально сформированных ответов.
Уязвимость затрагивает только конфиденциальность; данных о влиянии на целостность или доступность не зафиксировано.
Оценка CVSS v4.0: 5.3 / Средняя
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Уязвимые устройства/версии и исправления:
|
Модель устройства |
CVE |
Исправленная версия |
|
Kasa EC70 v4
Kase EC71 v4 |
CVE-2026-9770 CVE-2026-13230
CVE-2026-9770 CVE-2026-13230 |
2.4.0 Build 20260520 rel.4191
2.4.0 Build 20260520 rel.4191 2.4.1 Build 20260621 rel.76536 |
Рекомендации:
Мы настоятельно рекомендуем пользователям уязвимых устройств выполнить следующие действия:
- Следуйте инструкциям по обновлению до последней версии прошивки для исправления уязвимостей:
US: Загрузки для EC70 | TP-Link
EN: Загрузки для EC70 | TP-Link
- Обновите приложение Kasa на вашем мобильном устройстве.
Отказ от ответственности:
Данное уведомление предоставляется исключительно в информационных целях и может быть изменено без предварительного предупреждения. Информация предоставляется «как есть» без каких-либо гарантий. TP-Link рекомендует клиентам незамедлительно устанавливать доступные обновления прошивки или применять документированные временные решения, описанные в данном уведомлении. Устройства/системы, которые не были обновлены или защищены описанным образом, могут оставаться уязвимыми, и TP-Link снимает с себя любую ответственность за любые повреждения или убытки, возникшие в результате невыполнения таких обновлений.
Ищете больше информации?
Полезен ли этот FAQ?
Ваши отзывы помогают улучшить этот сайт.
TP-Link Community
Still need help? Search for answers, ask questions, and get help from TP-Link experts and other users around the world.
From United States?
Получайте информацию о продуктах, событиях и услугах для вашего региона.