TP-Link снова в опасности: четыре уязвимости требуют патча немедленно

TP-Link снова в деле, но на этот раз мало поводов для радости. Компания закрыла четыре уязвимости в шлюзах Omada, и две из них — критические, с возможностью запуска произвольного кода. Да, это серьёзно.

Три из дырок появились из-за ошибок внедрения команд, а одна позволяла получить доступ к root через неправильное управление привилегиями. Проблема коснулась сразу нескольких моделей, и внимание — одна из критических дырок вообще не требует аутентификации. Вот так вот, ребята, безопасность надо держать на контроле!

В бюллетене по безопасности TP-Link заявила, что три из четырёх уязвимостей связаны с внедрением команд. Четвёртая уязвимость связана с ненадлежащим управлением привилегиями.

Обе уязвимости критического уровня связаны с внедрением команд и отслеживаются как CVE-2025-6542 и CVE-2025-7850, обе имеют оценку серьёзности 9,3/10. Для последней уязвимости злоумышленнику также необходим доступ администратора к веб-порталу, тогда как для первой аутентификация не требуется.

Затронуты многочисленные модели

Две другие уязвимости обозначены как CVE-2025-6541 (оценка 8,6/10) и CVE-2025-7851. Первая уязвимость может быть использована пользователями, имеющими доступ к веб-интерфейсу управления, а вторая связана с ненадлежащим управлением привилегиями, что позволяет злоумышленникам получить доступ к оболочке root в базовой операционной системе.

Сообщается, что проблема затронула несколько моделей и версий продукта. Вот полный список:

ER8411 < 1.3.3 Сборка 20251013 Версия 44647

ER7412-M2 < 1.1.0 Сборка 20251015 Версия 63594

ER707-M2 < 1.3.1 Сборка 20251009 Версия 67687

ER7206 < 2.2.2 Сборка 20250724 Версия 11109

ER605 < 2.3.1 Сборка 20251015 Версия 78291