Komunikat dotyczący Pominięcia kontroli dostępu na Kontrolerach Omad Cloud i Niewystarczającej walidacji certyfikatu w wielu aplikacjach mobilnych (CVE-2025-9292 i CVE-2025-9293)
2008 Opis podatności bezpieczeństwa i jej wpływ:
CVE-2025-9292: Łagodne polityki zabezpieczeń Web umożliwiają międzydomenowe pominięcie kontroli dostępu na Kontrolerach Omada Cloud
Łagodna konfiguracja zabezpieczeń web w kontrolerach Omada Cloud może w specyficznych okolicznościach umożliwić ominięcie ograniczeń międzydomenowych wymuszanych przez nowoczesne przeglądarki. Wykorzystanie luki wymaga obecności istniejącej podatności zabezpieczeń po stronie klienta i dostępu użytkownika do podatnego interfejsu web.
Pomyślne wykorzystanie luki może umożliwić nieautoryzowanej osobie ujawnienie wrażliwych informacji.
CVSS v4.0 Wynik: 2.0 / Wysoki
CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
CVE-2026-9293: Niewystarczająca walidacja certyfikatu w wielu aplikacjach mobilnych umożliwiająca przechwycenie "Man in the Middle"
Podatność zabezpieczeń w logice walidacji certyfikatu może umożliwić aplikacjom zaakceptowanie niezaufanego lub niewłaściwie zwalidowanej tożsamości serwera w trakcie komunikacji TLS. Osoba atakująca z uprzywilejowaną pozycją w sieci może być w stanie przechwycić lub zmodyfikować ruch, jeśli będzie mogła znaleźć się w kanale komunikacji.
Pomyślne wykorzystanie luki może naruszyć poufność, spójność i dostępność danych aplikacji.
CVSS v4.0 Wynik: 7.7 / Wysoki
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:L/SI:N/SA:N
Lista aplikacji i ich wersji związanych z opisaną podatnością:
|
Aplikacja |
Wersja z podatnością |
|
Tapo |
< 3.14.111 |
|
Kasa |
< 3.4.350 |
|
Omada |
< 4.25.25 |
|
Omada Guard |
< 1.1.28 |
|
Tether |
< 4.12.27 |
|
Deco |
< 3.9.163 |
|
Aginet |
< 2.13.6 |
|
tpCamera |
< 3.2.17 |
|
WiFi Toolkit |
< 1.4.28 |
|
Festa |
< 1.7.1 |
|
Wi-Fi Navi |
< 1.5.5 |
|
KidShield |
< 1.1.21 |
|
TP-Partner |
< 2.0.1 |
|
VIGI |
< 2.7.70 |
Zalecenia:
Stanowczo zalecamy użytkownikom wspomnianych urządzeń podjęcie następujących czynności:
- W przypadku CVE-2025-9292:
Żadne działania użytkownika nie są wymagane dla wdrożeń Omada Cloud, jako że aktualizacje są stosowane automatycznie do środowiska TP-Link po ich walidacji.
- W przypadku CVE-2025-9293:
Użytkownikom aplikacji mobilnych których dotyczy opisana podatności zalecamy podjęcie następujących czynności:
- Otwórz Sklep Google Play
- Sprawdź dostępne zaktualizacje
- Zainstaluj najnowszą wersję aplikacji (więcej informacji w tabelce powyżej)
Uwaga: Podatność nie dotyczy aplikacji dla systemu iOS.
Zastrzeżenie:
Jeśli nie wykonasz powyższych zalecanych działań, podatność bezpieczeństwa będzie nadal występować. TP-Link nie ponosi jakiejkolwiek odpowiedzialności za konsekwencje których można było uniknąć, stosując się do zalecanych działań w tym oświadczeniu.
Czy ten poradnik FAQ był pomocny?
Twoja opinia pozwoli nam udoskonalić tę stronę.
z United States?
Uzyskaj produkty, wydarzenia i usługi przeznaczone dla Twojego regionu.