Statement on command injection and root access vulnerabilities on Omada gateways (CVE-2025-7850, CVE-2025-7851)
10-23-2025Description de la vulnérabilité :
CVE-2025-7850
- Une vulnérabilité d'injection de commande peut être exploitée après l'authentification de l'administrateur sur le portail Web sur les passerelles Omada.
CVE-2025-7851
- Un attaquant peut obtenir le shell racine sur le sous-jacent avec les conditions restreintes sur les passerelles Omada.
Impact:
Les attaquants peuvent exécuter des commandes arbitraires sur le système d’exploitation sous-jacent de l’appareil.
CVE-2025-7850
Score CVSS v4.0 : 9,3 / Critique
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:H
CVE-2025-7851
Score CVSS v4.0 : 8,7 / Élevé
CVSS:4.0/AV:A/AC:H/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:H
Produits/versions et correctifs concernés :
|
Modèle de produit concerné |
Version affectée |
Version corrigée |
|
ER8411 |
< 1.3.3 Build 20251013 Rel.44647 |
>= 1.3.3 Build 20251013 Rel.44647 |
|
ER7412-M2 |
< 1.1.0 Build 20251015 Rel.63594 |
>= 1.1.0 Build 20251015 Rel.63594 |
|
ER707-M2 |
< 1.3.1 Build 20251009 Rel.67687 |
>= 1.3.1 Build 20251009 Rel.67687 |
|
ER7206 |
< 2.2.2 Build 20250724 Rel.11109 |
>= 2.2.2 Build 20250724 Rel.11109 |
|
ER605 |
< 2.3.1 Build 20251015 Rel.78291 |
>= 2.3.1 Build 20251015 Rel.78291 |
|
ER706W |
< 1.2.1 Build 20250821 Rel.80909 |
>= 1.2.1 Build 20250821 Rel.80909 |
|
ER706W-4G |
< 1.2.1 Build 20250821 Rel.82492 |
>= 1.2.1 Build 20250821 Rel.82492 |
|
ER7212PC |
< 2.1.3 Build 20251016 Rel.82571 |
>= 2.1.3 Build 20251016 Rel.82571 |
|
G36 |
< 1.1.4 Build 20251015 Rel.84206 |
>= 1.1.4 Build 20251015 Rel.84206 |
|
G611 |
< 1.2.2 Build 20251017 Rel.45512 |
>= 1.2.2 Build 20251017 Rel.45512 |
|
FR365 |
< 1.1.10 Build 20250626 Rel.81746 |
>= 1.1.10 Build 20250626 Rel.81746 |
|
FR205 |
< 1.0.3 Build 20251016 Rel.61376 |
>= 1.0.3 Build 20251016 Rel.61376 |
|
FR307-M2 |
< 1.2.5 Build 20251015 Rel.76743 |
>= 1.2.5 Build 20251015 Rel.76743 |
Recommandation(s) :
Nous recommandons fortement aux utilisateurs des appareils concernés de prendre les mesures suivantes :
- Téléchargez et mettez à jour le dernier firmware pour corriger les vulnérabilités.
- Modifiez le mot de passe après la mise à niveau du micrologiciel pour atténuer le risque potentiel de fuite de mot de passe.
Clause de non-responsabilité:
Si vous ne prenez pas les mesures recommandées ci-dessus, ce problème de vulnérabilité persistera. TP-Link décline toute responsabilité quant aux conséquences qui auraient pu être évitées en suivant les recommandations de cette déclaration.
