Omada Pro Logo official website Vigi Logo official website
Contact Us
Brasil / Português

Aviso de segurança: Múltiplas vulnerabilidades nos controladores Omada (CVE-2025-9520, CVE-2025-9521, CVE-2025-9522)

Security Vulnerability
BookmarksCopiar link
01-26-2026

Descrição da vulnerabilidade:

Diversas vulnerabilidades nos controladores Omada são listadas abaixo.

  • CVE-2025-9520: Existe uma vulnerabilidade IDOR que permite que um atacante com permissão de Administrador manipule solicitações e potencialmente sequestre a conta do Proprietário.
  • CVE-2025-9521: Vulnerabilidade de bypass de confirmação de senha, permitindo que um atacante com um token de sessão válido ignore a verificação secundária.
  • CVE-2025-9522: Vulnerabilidade de falsificação de requisição do lado do servidor (SSRF) por meio da funcionalidade webhook, permitindo requisições maliciosas a serviços internos.

Impactos:

CVE-2025-9520:

Assunção total da conta do proprietário, concedendo controle administrativo completo sobre o Omada Controller e os serviços conectados.

Pontuação CVSS v4.0: 8,3 / Alta

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:N/SC:L/SI:H/SA:L

CVE-2025-9521:

Um atacante com um token de sessão válido pode conseguir contornar a verificação secundária e alterar a senha do usuário sem a devida confirmação, o que leva a uma segurança da conta comprometida.

Pontuação CVSS v4.0: 2,1 / Baixa

CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

CVE-2025-9522:

Isso pode permitir a enumeração de informações.

Pontuação CVSS v4.0: 5,1 / Média

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

Produtos Afetados / Versões e Correções:

Modelo de Produto Afetado

Vulnerabilidades Relacionadas

Versão Afetada

Versão Corrigida

Controladores Omada

CVE-2025-9520
CVE-2025-9521
CVE-2025-9522

< 6.0

>= 6.0

 

Recomendação(ões):

Recomendamos que os usuários com os dispositivos afetados tomem as seguintes providências:

  1. Baixe e atualize para a versão mais recente do software para corrigir as vulnerabilidades.

US: Firmware Download | Omada Network Support

EN: Firmware Download | Omada Network Support

Isenção de responsabilidade:

Caso você não tome todas as medidas recomendadas, essa vulnerabilidade persistirá. A TP-Link não se responsabiliza por quaisquer consequências que poderiam ter sido evitadas caso este aviso tivesse sido seguido.

Por favor, avalie este boletim

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Your Privacy Choices

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Cookies básicos

Esses cookies são necessários para o funcionamento do site e não podem ser desativados em seus sistemas.

TP-Link

SESSION, JSESSIONID, accepted_local_switcher, tp_privacy_banner, tp_privacy_base, tp_privacy_marketing, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Zendesk

OptanonConsent, __cf_bm, __cfruid, _cfuvid, _help_center_session, _pendo___sg__.<container-id>, _pendo_meta.<container-id>, _pendo_visitorId.<container-id>, _zendesk_authenticated, _zendesk_cookie, _zendesk_session, _zendesk_shared_session, ajs_anonymous_id, cf_clearance

Cookies de Marketing e Análise

Os cookies de análise nos permitem analisar suas atividades em nosso site para melhorar e adaptar a funcionalidade do mesmo.

Os cookies de marketing podem ser definidos por meio de nosso site por nossos parceiros publicitários para criar um perfil de seus interesses e exibir anúncios relevantes em outros sites.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au