Security Advisory on Permissive Web Security Policy Allows Cross-Origin Access Control Bypass on Omada Cloud Controllers and Insufficient Certificate Validation in Multiple Mobile Applications Allows Man in the Middle Interception (CVE-2025-9292 and CVE-2025-9293)
823 脆弱性與影響說明:
CVE-2025-9292:允許的網路安全政策允許 Omada 雲端控制器進行跨來源存取控制繞過
Omada 雲端控制器中的寬鬆網路安全設定,可能允許在特定情況下繞過現代瀏覽器強制執行的跨來源限制。利用需要存在現有的用戶端注入漏洞,且使用者能存取受影響的網頁介面。
成功利用可能導致敏感資訊被未經授權洩露。
CVSS v4.0 評分:2.0/低分
CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
CVE-2026-9293:多重行動應用程式憑證驗證不足,導致中間人攔截
憑證驗證邏輯中的漏洞可能允許應用程式在 TLS 通訊期間接受不信任或驗證不當的伺服器身份。處於特權網路位置的攻擊者若能在通訊通道中定位,可能攔截或修改流量。
成功的利用可能會危及應用程式資料的機密性、完整性及可用性。
CVSS v4.0 評分:7.7 / 高分
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:L/SI:N/SA:N
受影響的產品/版本與修正:
|
受影響的應用 |
受影響版本 |
| Tapo |
< 3.14.111 |
| Kasa |
< 3.4.350 |
| Omada |
< 4.25.25 |
| Omada Guard |
< 1.1.28 |
| Tether |
< 4.12.27 |
| Deco |
< 3.9.163 |
| Aginet |
< 2.13.6 |
|
tpCamera |
< 3.2.17 |
| WiFi Toolkit |
< 1.4.28 |
| Festa |
< 1.7.1 |
| Wi-Fi Navi |
< 1.5.5 |
| KidShield |
< 1.1.21 |
| TP-Partner |
< 2.0.1 |
|
VIGI |
< 2.7.70 |
建議:
我們強烈建議受影響裝置的用戶採取以下行動:
- 關於 CVE-2025-9292:
Omada 雲端部署無需使用者操作,因為更新會在 TP-Link 驗證後自動套用到雲端環境。
- 關於 CVE-2025-9293:
受影響行動應用程式的使用者應:
- 開啟 Google Play 商店
- 請查看最新消息
- 安裝最新的應用程式版本(詳見上方細節)
注意:iOS 應用程式不受影響。
免責聲明:
如果你不採取所有建議的行動,這個漏洞將持續存在。TP-Link 不承擔本可避免的後果責任。
這篇faq是否有用?
您的反饋將幫助我們改善網站