TP-Link ha publicado actualizaciones de seguridad para corregir cuatro fallas de seguridad que afectan a los dispositivos de puerta de enlace Omada, incluidos dos errores críticos que podrían provocar la ejecución de código arbitrario.
El vulnerabilidades en pregunta se enumeran a continuación -
- CVE-2025-6541 (Puntuación CVSS: 8.6): una vulnerabilidad de inyección de comandos del sistema operativo que podría aprovechar un atacante que pudiera iniciar sesión en la interfaz de administración web para ejecutar comandos arbitrarios
- CVE-2025-6542 (Puntuación CVSS: 9.3): una vulnerabilidad de inyección de comandos en el sistema operativo que un atacante remoto no autenticado podría aprovechar para ejecutar comandos arbitrarios
- CVE-2025-7850 (Puntuación CVSS: 9.3): una vulnerabilidad de inyección de comandos en el sistema operativo que un atacante que posea una contraseña de administrador del portal web podría aprovechar para ejecutar comandos arbitrarios
- CVE-2025-7851 (Puntuación CVSS: 8.7): una vulnerabilidad de administración de privilegios inadecuada que un atacante podría aprovechar para obtener el shell raíz del sistema operativo subyacente en condiciones restringidas
«Los atacantes pueden ejecutar comandos arbitrarios en el sistema operativo subyacente del dispositivo», dijo TP-Link en un aviso publicado el martes.
Los problemas afectan a los siguientes modelos y versiones de productos:
- ER8411 < 1.3.3 Versión 20251013 Rel.44647
- ER7412-M2 < 1.1.0 Versión 20251015 Rel.63594
- ER707-M2 < 1.3.1 Versión 20251009 Rel.67687
- ER7206 < 2.2.2 Versión 20250724 Rel.11109
- ER605 < 2.3.1 Versión 20251015 Rel.78291
- ER706W < 1.2.1 Versión 20250821 Rel.80909
- ER706W-4G < 1.2.1 Versión 20250821 Rel.82492
- ER7212PC < 2.1.3 Versión 20251016 Rel.82571
- G36 < 1.1.4 Versión 20251015 Rel.84206
- G611 < 1.2.2 Versión 20251017 Rel.45512
- FR365 < 1.1.10 Versión 20250626 Rel.81746
- FR205 < 1.0.3 Versión 20251016 Rel.61376
- FR307-M2 < 1.2.5 Versión 20251015 Rel.76743
Si bien TP-Link no menciona las fallas que se están explotando en la naturaleza, se recomienda a los usuarios que se muevan rápidamente para descargar y actualizar el firmware más reciente para corregir las vulnerabilidades.
«Compruebe las configuraciones del dispositivo después de la actualización del firmware para asegurarse de que todos los ajustes siguen siendo precisos, seguros y alineados con sus preferencias previstas», añadió.
También señaló en un descargo de responsabilidad que no puede asumir ninguna responsabilidad por las consecuencias que puedan surgir si no se cumplen las acciones recomendadas anteriormente.