Omada Pro Logo official website Vigi Logo official website
Связаться с нами
Казахстан / Русский

Рекомендации по безопасности, связанные с уязвимостью межсайтового выполнения сценариев на контроллерах Omada (CVE-2025-9289) и уязвимостью аутентификации на контроллерах, шлюзах и точках доступа Omada (CVE-2025-9290)

Security Vulnerability
BookmarksCopy Link
01-28-2026

Описание уязвимостей и их воздействие:

CVE-2025-9289: Контроллеры Omada

В параметре контроллеров Omada была обнаружена уязвимость межсайтового скриптинга (XSS) из-за некорректной санации ввода. Для эксплуатации требуются сложные условия, такие как сетевое позиционирование или эмуляция доверенной сущности, а также взаимодействие со стороны аутентифицированного администратора. В случае успеха злоумышленник может выполнить произвольный JavaScript в браузере администратора, потенциально раскрывая конфиденциальную информацию и нарушая конфиденциальность.

Оценка CVSS v4.0: 5.7 / Средняя

CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:A/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N

CVE-2025-9290: Контроллеры, шлюзы и точки доступа Omada

Была обнаружена слабость аутентификации в процессе подключения устройства к контроллеру из-за некорректной обработки случайных значений. Для эксплуатации требуется продвинутое сетевое позиционирование и позволяет злоумышленнику перехватить трафик подключения и подделать действительную аутентификацию с помощью офлайн-предвычислений, потенциально раскрывая конфиденциальную информацию и нарушая конфиденциальность.

Оценка CVSS v4.0: 6 / Средняя

CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Сводка по затронутым продуктам:

Семейство продуктов

Модели

CVE

Затронутые версии

Контроллеры

Программные (Win/Linux), Облачные, Серия OC (OC200/OC220/OC300/OC400)

CVE-2025-9289

CVE-2025-9290

< 6.0.0.x

Шлюзы

Серии ER/DR (ER605, ER7206, ER7406, ER707-M2, ER7412-M2, ER8411, варианты ER706W, ER701-5G, ER7212PC), FR365, G36W-4G

CVE-2025-9290

< соответствующие версии

Точки доступа

Серия EAP (EAP655-Wall, EAP660 HD, EAP620 HD, EAP610, EAP623/625 Outdoor HD, EAP772/770/723/773/783/787, EAP725-Wall, Bridge Kits, Beam Bridge, EAP603GP/EAP615GP/EAP625GP/EAP610GP/EAP650GP, EAP653/EAP650-Outdoor/EAP230/EAP235/EAP603-Outdoor/EAP653 UR/EAP650-Desktop/EAP615-Wall/EAP100-Bridge KIT)

CVE-2025-9290

< соответствующие версии

 

Подробная информация о версиях:

Затронутая модель продукта

Связанные уязвимости

Затронутая версия

Контроллеры:

 

 

Программные контроллеры (Win & Linux)

CVE-2025-9289

CVE-2025-9290

< 6.0.0.24

Облачный контроллер

CVE-2025-9289

CVE-2025-9290

< 6.0.0.100

Аппаратные контроллеры:

 

 

OC200

CVE-2025-9289

CVE-2025-9290

< 6.0.0.34

OC200(UN)_V1_1.37.9 Build 20251027 OC200(UN)_V2_2.22.9 Build 20251027

OC220

CVE-2025-9289

< 6.0.0.34 OC220(UN)_V1_1.2.9 Build 20251027

OC220

CVE-2025-9290

<5.15.24

OC220(UN)_V1_1.1.3 Build 20250918

OC220(UN)_V2 Build 20250929

OC300

CVE-2025-9289

CVE-2025-9290

< 6.0.0.34

OC300(UN)_V1.6_1.31.9 Build 20251027

OC400

CVE-2025-9289

CVE-2025-9290

< 6.0.0.34

OC400(UN)_V1.6_1.9.9 Build 20251027

Шлюзы:

 

 

ER605 v2.0

CVE-2025-9290

< 2.3.2 Build 20251029 Rel.12727

ER7206 v2.0

CVE-2025-9290

< 2.2.2 Build 20250724 Rel.11109

ER7406

CVE-2025-9290

< 1.2.2 Build 20250724 Rel.11109

ER707-M2

CVE-2025-9290

< 1.3.1 Build 20251009 Rel.67687

ER7412-M2

CVE-2025-9290

< 1.1.0 Build 20251015 Rel.63594

ER8411

CVE-2025-9290

< 1.3.5 Build 20251028 Rel.06811

ER706W

CVE-2025-9290

< 1.2.1 Build 20250821 Rel.80909

ER706W-4G

CVE-2025-9290

< 1.2.1 Build 20250821 Rel.82492

ER706W-4G 2.0

CVE-2025-9290

< 2.1.0 Build 20250810 Rel.77020

ER706WP-4G

CVE-2025-9290

< 1.1.0 Build 20250810 Rel.77020

ER703WP-4G-Outdoor

CVE-2025-9290

< 1.1.0 Build 20250822 Rel.08201

DR3220v-4G

CVE-2025-9290

< 1.1.0 Build 20250801 Rel.81473

DR3650v

CVE-2025-9290

< 1.1.0 Build 20250801 Rel.81737

DR3650v-4G

CVE-2025-9290

< 1.1.0 Build 20250801 Rel.81753

ER701-5G-Outdoor

CVE-2025-9290

< 1.0.0 Build 20250826 Rel.68862

ER605W 2.0

CVE-2025-9290

< 2.0.2 Build 20250723 Rel.39048

ER7212PC 2.0

CVE-2025-9290

< 2.2.1 Build 20251027 Rel.75129

FR365

CVE-2025-9290

< 1.1.10 Build 20250626 Rel.81746

G36W-4G

CVE-2025-9290

< 1.1.5 Build 20250710 Rel.62142

Точки доступа:

 

 

EAP655-Wall v1.0

CVE-2025-9290

< 1.6.2 Build 20251107 Rel. 35700

EAP660 HD v1.0

EAP660 HD v2.0

CVE-2025-9290

< 1.6.1 Build 20251218 Rel. 60476

EAP620 HD v3.0/3.20

EAP620 HD v2.

EAP610-Outdoor v1.0/1.20

EAP610 v1.0

EAP610 v2.0

EAP623-Outdoor HD v1.0

EAP625-Outdoor HD v1.0

CVE-2025-9290

< 1.6.1 Build 20251218 Rel. 60435

EAP772 v2.0

EAP772-Outdoor v1.0

EAP770 v2.0

EAP723 v1.0

CVE-2025-9290

< 1.3.2 Build 20250901 Rel. 52255

EAP773 v1.0

EAP783 v1.0

EAP772 v1.0

CVE-2025-9290

< 1.1.2 Build 20251030 Rel. 58575

EAP787 v1.0

CVE-2025-9290

< 1.1.2 Build 20251013 Rel. 32717

EAP720 v1.0

EAP723 v2.0

EAP725-Wall v1.0

CVE-2025-9290

< 1.1.2 Build 20250901 Rel. 74897

EAP215 Bridge KIT 3.0

EAP211 Bridge KIT 3.0

CVE-2025-9290

<1.1.4 Build 20251112 Rel. 34769

Beam Bridge 5 UR v1.0

CVE-2025-9290

< 1.1.5 Build 20250928 Rel. 68499

EAP603GP-Desktop 1.0

EAP615GP-Wall 1.0/1.20

EAP625GP-Wall 1.0/1.20

EAP610GP-Desktop 1.0/1.20/1.26

CVE-2025-9290

< 1.1.0 Build 20251028 Rel. 81486

EAP650GP-Desktop 1.0

CVE-2025-9290

< 1.0.1 Build 20250819 Rel. 60298

EAP653 v1.0

EAP650-Outdoor v1.0

CVE-2025-9290

< 1.3.3 Build 20251111 Rel. 72627

EAP230-Wall v1.0

EAP235-Wall v1.0

CVE-2025-9290

< 3.3.1 Build 20251203 Rel. 58135

EAP603-Outdoor v1.0

CVE-2025-9290

< 1.5.1 Build 20250917 Rel. 50214

EAP653 UR v1.0

CVE-2025-9290

< 1.4.2 Build 20251208 Rel. 43830

EAP650-Desktop v1.0

CVE-2025-9290

< 1.1.0 Build 20251105 Rel. 50852

EAP615-Wall v1.20

EAP615-Wall v1.0

CVE-2025-9290

<1.5.10 Build 20250903 Rel. 49784

EAP100-Bridge KIT v1.0

CVE-2025-9290

< 1.0.3 Build 20251015 Rel. 62058

 

Рекомендации:

Мы настоятельно рекомендуем пользователям затронутых устройств предпринять следующие действия:

  1. Загрузите и обновитесь до последней версии прошивки, чтобы устранить эти уязвимости:

https://support.omadanetworks.com/kz/download/

https://support.omadanetworks.com/en/download/

  1. Измените пароль после обновления прошивки, чтобы снизить потенциальный риск утечки пароля

Отказ от ответственности:

Если вы не предпримете рекомендуемые действия, указанные выше, проблема данной уязвимости сохранится. TP-Link не может нести ответственности за последствия, которых можно было бы избежать, следуя рекомендуемым действиям в данном заявлении.

 

Please Rate this Bulletin

Подпишитесь на рассылкуМы с ответственностью относимся к вашим персональным данным. Полный текст положения об обработке персональных данных доступен здесь. С нашими условиями использования и программой улучшения пользовательского опыта можно ознакомиться здесь.

Email Error

Мы в соцсетях

О нас
Пресс-центр
Учебный центр
TP-Link Omada Omada Pro VIGI
Казахстан / Русский

©2026 TP-Link Казахстан и ее аффилированные компании. Все права защищены.

This website uses cookies to improve website navigation, analyze online activities and have the best possible user experience on our website. You can object to the use of cookies at any time. You can find more information in our privacy policy . Don’t show again

Your Privacy Choices

This website uses cookies to improve website navigation, analyze online activities and have the best possible user experience on our website. You can object to the use of cookies at any time. You can find more information in our privacy policy . Don’t show again

Basic Cookies

These cookies are necessary for the website to function and cannot be deactivated in your systems.

TP-Link

SESSION, JSESSIONID, accepted_local_switcher, tp_privacy_banner, tp_privacy_base, tp_privacy_marketing, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Zendesk

OptanonConsent, __cf_bm, __cfruid, _cfuvid, _help_center_session, _pendo___sg__.<container-id>, _pendo_meta.<container-id>, _pendo_visitorId.<container-id>, _zendesk_authenticated, _zendesk_cookie, _zendesk_session, _zendesk_shared_session, ajs_anonymous_id, cf_clearance

Analysis and Marketing Cookies

Analysis cookies enable us to analyze your activities on our website in order to improve and adapt the functionality of our website.

The marketing cookies can be set through our website by our advertising partners in order to create a profile of your interests and to show you relevant advertisements on other websites.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au