Omada Pro Logo official website Vigi Logo official website
Contact Us
Brasil / Português

Aviso de segurança sobre a exposição do controlador Omada ao MongoBleed (CVE-2025-14847)

Security Vulnerability
BookmarksCopiar link
01-26-2026
2204

Este aviso descreve como a vulnerabilidade upstream do MongoDB "MongoBleed" (CVE-2025-14847) afeta os controladores TP-Link Omada, as condições em que a exposição pode ocorrer e as etapas de correção recomendadas.

Descrição da vulnerabilidade e seus impactos:

MongoBleed (CVE-2025-14847) é uma vulnerabilidade crítica de divulgação de memória não autenticada no tratamento de mensagens de rede comprimidas por zlib no MongoDB. Essa falha upstream pode levar ao vazamento de memória heap não inicializada, potencialmente expondo informações sensíveis.

Pontuação CVSS v4.0: 8,7 / Alta

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Os controladores Omada são afetados?

Os controladores Omada são afetados apenas sob condições específicas de implantação.

Você PODE ser afetado se QUALQUER uma das seguintes situações for verdadeira:

  • O controlador está implantado em modo cluster.
  • A configuração do MongoDB foi modificada manualmente no arquivo omada.properties, alterando o parâmetro “eap.mongod.host” do valor padrão 127.0.0.1 para um endereço IP mais amplo ou acessível externamente..
  • Para controladores de software Linux, você está usando um MongoDB implantado por você mesmo, e
    • A versão é vulnerável, e
    • MongoDB escutando em uma interface externa..

Se NENHUMA dessas condições se aplicar:

  • A exposição ao risco é limitada e as implementações padrão NÃO são exploráveis..

Controladores baseados em nuvem NÃO são afetados.

Versões afetadas:

Produtos

Versões Afetadas

Controladores de Hardware

 

OC200 V1

< OC200_V1_1.38.9 / Omada SDN 6.1.0

OC200 V2

< OC200_V2_2.23.9 / Omada SDN 6.1.0

OC220 V1

< OC220_V1_1.3.9 / Omada SDN 6.1.0

OC220 V2

< OC220_V2_2.2.5 / Omada SDN 6.1.0

OC300 V1

< OC300_V1_1.32.9 / Omada SDN 6.1.0

OC400 V1

< OC400_V1_1.10.9 / Omada SDN 6.1.0

Controladores de Software

 

Aplicativo de rede Omada (Windows)

< v6.1.0.18

Aplicativo de rede Omada (Linux)

Depende do MongoDB implantado pelo usuário

Resumo das condições afetadas:

Controladores de hardware ou controladores de software do Windows

  • Não explorável nas configurações de implantação padrão.
  • Sua implantação poderá ser afetada se:
    • O modo cluster está ativado, OU
    • O parâmetro eap.mongod.host foi alterado manualmente para expor o MongoDB externamente.

Controladores de software Linux

  • O impacto depende da versão do MongoDB implantada pelo usuário.
  • Você precisa verificar:
    • A versão do MongoDB que você instalou.
    • Se o MongoDB está exposto externamente
    • Se a compressão zlib está ativada

Recomendações e medidas corretivas:

  1. Atualize para uma versão corrigida (recomendado)

Se você utiliza controladores de hardware implantados em modo cluster, a atualização é altamente recomendada.

  1. As seguintes versões de pré-lançamento do Omada SDN 6.1.0 incluem a correção:

Controladores de Hardware:

OC200(UN)_V1_1.38.9_pre-release > Built-in Omada SDN Controller 6.1.0

OC200(UN)_V2_2.23.9_pre-release >Built-in Omada SDN Controller 6.1.0

OC220(UN)_V1_1.3.9_pre-release > Built-in Omada SDN Controller 6.1.0

OC220(UN)_V2_2.2.5_pre-release > Built-in Omada SDN Controller 6.1.0

OC300(UN)_V1_1.32.9_pre-release > Built-in Omada SDN Controller 6.1.0

OC400(UN)_V1_1.10.9_pre-release (Built-in Omada SDN Controller 6.1.0)

Controladores de Software:

Omada_Network_Application_v6.1.0.18 Windows (Windows 10/11/Server, 64-bit Recommended)

Omada_Network_Application_v6.1.0.18_linux_x64.tar.gz

Omada_Network_Application_v6.1.0.18_linux_x64.deb

Você também pode visitar as páginas da Comunidade Empresarial para obter o firmware de pré-lançamento mais recente.

Omada_Network_Application_V6.1.x.x Pre-Release Firmware (Updated on 9th Jan, 2026) - Business Community

Hardware Controllers Omada SDN Controller 6.1 Pre-Release Firmware (Updated on 13rd Jan, 2026) - Business Community

  1. Solução temporária (caso ainda não seja possível atualizar):

Adicione o seguinte ao arquivo eap.mongod.args em properties/omada.properties:

--compressores de mensagens de rede rápidos

Isso desativa a compressão zlib e impede a exploração do MongoBleed.

  1. Controladores Linux com MongoDB autoimplantado:

Você deve atualizar o MongoDB seguindo as orientações oficiais do MongoDB:
https://jira.mongodb.org/browse/SERVER-115508

As versões corrigidas do MongoDB incluem:
8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, 4.4.30

Notas sobre a atualização:

  • Atualizações de versão secundárias (ex.: 7.0.14 → 7.0.28) → Sem problemas de compatibilidade.
  • Atualizações entre versões principais (por exemplo, 3.6 → 4.4) → Siga os passos adicionais necessários abaixo:

Consulte as Perguntas Frequentes sobre a atualização do Omada para obter orientações.

https://www.omadanetworks.com/us/support/faq/4398/

https://www.omadanetworks.com/us/support/faq/4160/

Isenção de responsabilidade:

Caso você não tome todas as medidas recomendadas, essa vulnerabilidade persistirá. A TP-Link não se responsabiliza por quaisquer consequências que poderiam ter sido evitadas caso este aviso tivesse sido seguido.

Por favor, avalie este boletim

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Your Privacy Choices

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Cookies básicos

Esses cookies são necessários para o funcionamento do site e não podem ser desativados em seus sistemas.

TP-Link

SESSION, JSESSIONID, accepted_local_switcher, tp_privacy_banner, tp_privacy_base, tp_privacy_marketing, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Zendesk

OptanonConsent, __cf_bm, __cfruid, _cfuvid, _help_center_session, _pendo___sg__.<container-id>, _pendo_meta.<container-id>, _pendo_visitorId.<container-id>, _zendesk_authenticated, _zendesk_cookie, _zendesk_session, _zendesk_shared_session, ajs_anonymous_id, cf_clearance

Cookies de Marketing e Análise

Os cookies de análise nos permitem analisar suas atividades em nosso site para melhorar e adaptar a funcionalidade do mesmo.

Os cookies de marketing podem ser definidos por meio de nosso site por nossos parceiros publicitários para criar um perfil de seus interesses e exibir anúncios relevantes em outros sites.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au