이 문서에는 기계 번역이 적용되었으며, 정확한 내용을 확인하려면 원본 영문 문서를 참고하시기 바랍니다.
취약점 설명:
Omada 컨트롤러의 다중 취약점은 아래와 같습니다.
- CVE-2025-9520: 관리자 권한을 가진 공격자가 요청을 조작하여 소유자 계정을 탈취할 수 있는 IDOR(즉시 데이터 조작) 취약점이 존재합니다.
- CVE-2025-9521: 유효한 세션 토큰을 보유한 공격자가 2차 인증을 우회할 수 있는 비밀번호 확인 우회 취약점.
- CVE-2025-9522: 웹훅 기능을 통한 블라인드 서버 측 요청 위조(SSRF)로, 내부 서비스에 대한 조작된 요청이 가능해집니다.
영향:
CVE-2025-9520:
소유자 계정의 완전한 탈취로, Omada 컨트롤러 및 연결된 서비스에 대한 완전한 관리 권한을 부여합니다.
CVSS v4.0 점수: 8.3 / 고위험
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:N/SC:L/SI:H/SA:L
CVE-2025-9521:
유효한 세션 토큰을 보유한 공격자가 2차 인증을 우회하고 적절한 확인 없이 사용자의 비밀번호를 변경할 수 있어 계정 보안이 약화될 수 있습니다.
CVSS v4.0 점수: 2.1 / 낮음
CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
CVE-2025-9522:
정보 열거가 가능할 수 있습니다.
CVSS v4.0 점수: 5.1 / 중간
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
영향을 받는 제품/버전 및 수정 사항:
|
영향을 받는 제품 모델 |
관련 취약점 |
영향을 받는 버전 |
수정된 버전 |
|
Omada 컨트롤러 |
CVE-2025-9520 |
< 6.0 |
>= 6.0 |
권장 사항:
영향을 받는 장치를 보유한 사용자는 다음 조치를 취할 것을 강력히 권장합니다:
- 취약점을 해결하려면 최신 소프트웨어를 다운로드하여 업데이트하십시오.
KR: 펌웨어 다운로드 | Omada Network 지원
EN: 펌웨어 다운로드 | Omada Network 지원
면책 조항:
권장 조치를 모두 수행하지 않을 경우 해당 취약점은 지속됩니다. 본 권고 사항을 준수함으로써 방지할 수 있었던 결과에 대해 TP-Link는 어떠한 책임도 지지 않습니다.
