Oświadczenie dotyczące podatności Cross-Site Scripting na Kontrolerach Omada (CVE-2025-9289) oraz Authentication Weakness na Kontrolerach, Bramach sieciowych i Punktach dostępowych Omada (CVE-2025-9290)
01-23-2026Opis podatności bezpieczeństwa i jej wpływ:
CVE-2025-9289: Kontrolery Omada
Podatność Cross-Site Scripting (XSS) została zidentyfikowana w parametrze Kontrolerów Omada i jest spowodowana nieprawidłową sanitacją danych wejściowych. Wykorzystanie luki wymaga spełnienia zaawansowanych warunków, takich jak pozycjonowanie w sieci lub emulacja zaufanej jednostki i interakcji użytkownika poprzez uwierzytelnionego administratora. Gdy atak się powiedzie, atakujący może wykonać dowolną czynność JavaScript w przeglądarce administratora, potencjalnie ujawniając wrażliwe informacje i naruszając poufność.
CVSS v4.0 Wynik: 5.7 / Średni
CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:A/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N
CVE-2025-9290: Kontrolery, Bramy sieciowe i Punkty dostępowe Omada
Słabość uwierzytelniania (Authentication Weakness) została zidentyfikowana w trakcie adopcji Kontroler - Urządzenie i jest spowodowana nieprawidłową obsługą losowych wartości. Wykorzystanie luki wymaga spełnienia zaawansowanego pozycjonowania w sieci i umożliwia atakującemu przechwycenie ruchu adopcji oraz sfałszowanie prawidłowego uwierzytelnienia poprzez wstępne obliczenia offline, potencjalnie ujawniając wrażliwe informacje i naruszając poufność.
CVSS v4.0 Wynik: 6 / Średni
CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Podsumowanie produktów, których dotyczy opisana podatność:
|
Rodzina produktu |
Modele |
CVE |
Wersja oprogramowania, której dotyczy podatność |
|
Kontrolery |
Programowe (Windows/Linux), Chmurowe, Seria OC (OC200/OC220/OC300/OC400) |
CVE-2025-9289 CVE-2025-9290 |
< 6.0.0.x |
|
Bramy sieciowe |
Seria ER/DR (ER605, ER7206, ER7406, ER707-M2, ER7412-M2, ER8411, warianty ER706W, ER701-5G, ER7212PC), FR365, G36W-4G |
CVE-2025-9290 |
< wersje podane poniżej |
|
Punkty dostępowe |
EAP Series (EAP655-Wall, EAP660 HD, EAP620 HD, EAP610, EAP623/625 Outdoor HD, EAP772/770/723/773/783/787, EAP725-Wall, Bridge Kits, Beam Bridge, EAP603GP/EAP615GP/EAP625GP/EAP610GP/EAP650GP, EAP653/EAP650-Outdoor/EAP230/EAP235/EAP603-Outdoor/EAP653 UR/EAP650-Desktop/EAP615-Wall/EAP100-Bridge KIT) |
CVE-2025-9290 |
< wersje podane poniżej |
Lista produktów i oprogramowań związanych z opisaną podatnością zabezpieczeń:
|
Model produktu |
Powiązane podatności |
Wersja oprogramowania której dotyczy podatność |
|
Kontrolery: |
|
|
|
Programowe (Windows i Linux) |
CVE-2025-9289 CVE-2025-9290 |
< 6.0.0.24 |
|
Chmurowe |
CVE-2025-9289 CVE-2025-9290 |
< 6.0.0.100 |
|
Sprzętowe: |
|
|
|
OC200 |
CVE-2025-9289 CVE-2025-9290 |
< 6.0.0.34 OC200(UN)_V1_1.37.9 Build 20251027 OC200(UN)_V2_2.22.9 Build 20251027 |
|
OC220 |
CVE-2025-9289 |
< 6.0.0.34 OC220(UN)_V1_1.2.9 Build 20251027 |
|
OC220 |
CVE-2025-9290 |
<5.15.24 OC220(UN)_V1_1.1.3 Build 20250918 OC220(UN)_V2 Build 20250929 |
|
OC300 |
CVE-2025-9289 CVE-2025-9290 |
< 6.0.0.34 OC300(UN)_V1.6_1.31.9 Build 20251027 |
|
OC400 |
CVE-2025-9289 CVE-2025-9290 |
< 6.0.0.34 OC400(UN)_V1.6_1.9.9 Build 20251027 |
|
Bramy sieciowe: |
|
|
|
ER605 v2.0 |
CVE-2025-9290 |
< 2.3.2 Build 20251029 Rel.12727 |
|
ER7206 v2.0 |
CVE-2025-9290 |
< 2.2.2 Build 20250724 Rel.11109 |
|
ER7406 |
CVE-2025-9290 |
< 1.2.2 Build 20250724 Rel.11109 |
|
ER707-M2 |
CVE-2025-9290 |
< 1.3.1 Build 20251009 Rel.67687 |
|
ER7412-M2 |
CVE-2025-9290 |
< 1.1.0 Build 20251015 Rel.63594 |
|
ER8411 |
CVE-2025-9290 |
< 1.3.5 Build 20251028 Rel.06811 |
|
ER706W |
CVE-2025-9290 |
< 1.2.1 Build 20250821 Rel.80909 |
|
ER706W-4G |
CVE-2025-9290 |
< 1.2.1 Build 20250821 Rel.82492 |
|
ER706W-4G 2.0 |
CVE-2025-9290 |
< 2.1.0 Build 20250810 Rel.77020 |
|
ER706WP-4G |
CVE-2025-9290 |
< 1.1.0 Build 20250810 Rel.77020 |
|
ER703WP-4G-Outdoor |
CVE-2025-9290 |
< 1.1.0 Build 20250822 Rel.08201 |
|
DR3220v-4G |
CVE-2025-9290 |
< 1.1.0 Build 20250801 Rel.81473 |
|
DR3650v |
CVE-2025-9290 |
< 1.1.0 Build 20250801 Rel.81737 |
|
DR3650v-4G |
CVE-2025-9290 |
< 1.1.0 Build 20250801 Rel.81753 |
|
ER701-5G-Outdoor |
CVE-2025-9290 |
< 1.0.0 Build 20250826 Rel.68862 |
|
ER605W 2.0 |
CVE-2025-9290 |
< 2.0.2 Build 20250723 Rel.39048 |
|
ER7212PC 2.0 |
CVE-2025-9290 |
< 2.2.1 Build 20251027 Rel.75129 |
|
FR365 |
CVE-2025-9290 |
< 1.1.10 Build 20250626 Rel.81746 |
|
G36W-4G |
CVE-2025-9290 |
< 1.1.5 Build 20250710 Rel.62142 |
|
Punkty dostępowe: |
|
|
|
EAP655-Wall v1.0 |
CVE-2025-9290 |
< 1.6.2 Build 20251107 Rel. 35700 |
|
EAP660 HD v1.0 EAP660 HD v2.0 |
CVE-2025-9290 |
< 1.6.1 Build 20251218 Rel. 60476 |
|
EAP620 HD v3.0/3.20 EAP620 HD v2. EAP610-Outdoor v1.0/1.20 EAP610 v1.0 EAP610 v2.0 EAP623-Outdoor HD v1.0 EAP625-Outdoor HD v1.0 |
CVE-2025-9290 |
< 1.6.1 Build 20251218 Rel. 60435 |
|
EAP772 v2.0 EAP772-Outdoor v1.0 EAP770 v2.0 EAP723 v1.0 |
CVE-2025-9290 |
< 1.3.2 Build 20250901 Rel. 52255 |
|
EAP773 v1.0 EAP783 v1.0 EAP772 v1.0 |
CVE-2025-9290 |
< 1.1.2 Build 20251030 Rel. 58575 |
|
EAP787 v1.0 |
CVE-2025-9290 |
< 1.1.2 Build 20251013 Rel. 32717 |
|
EAP720 v1.0 EAP723 v2.0 EAP725-Wall v1.0 |
CVE-2025-9290 |
< 1.1.2 Build 20250901 Rel. 74897 |
|
EAP215 Bridge KIT 3.0 EAP211 Bridge KIT 3.0 |
CVE-2025-9290 |
<1.1.4 Build 20251112 Rel. 34769 |
|
Beam Bridge 5 UR v1.0 |
CVE-2025-9290 |
< 1.1.5 Build 20250928 Rel. 68499 |
|
EAP603GP-Desktop 1.0 EAP615GP-Wall 1.0/1.20 EAP625GP-Wall 1.0/1.20 EAP610GP-Desktop 1.0/1.20/1.26 |
CVE-2025-9290 |
< 1.1.0 Build 20251028 Rel. 81486 |
|
EAP650GP-Desktop 1.0 |
CVE-2025-9290 |
< 1.0.1 Build 20250819 Rel. 60298 |
|
EAP653 v1.0 EAP650-Outdoor v1.0 |
CVE-2025-9290 |
< 1.3.3 Build 20251111 Rel. 72627 |
|
EAP230-Wall v1.0 EAP235-Wall v1.0 |
CVE-2025-9290 |
< 3.3.1 Build 20251203 Rel. 58135 |
|
EAP603-Outdoor v1.0 |
CVE-2025-9290 |
< 1.5.1 Build 20250917 Rel. 50214 |
|
EAP653 UR v1.0 |
CVE-2025-9290 |
< 1.4.2 Build 20251208 Rel. 43830 |
|
EAP650-Desktop v1.0 |
CVE-2025-9290 |
< 1.1.0 Build 20251105 Rel. 50852 |
|
EAP615-Wall v1.20 EAP615-Wall v1.0 |
CVE-2025-9290 |
<1.5.10 Build 20250903 Rel. 49784 |
|
EAP100-Bridge KIT v1.0 |
CVE-2025-9290 |
< 1.0.3 Build 20251015 Rel. 62058 |
Zalecenia:
Stanowczo zalecamy użytkownikom wspomnianych urządzeń podjęcie następujących czynności:
- Pobrać i zaktualizować oprogramowanie do najnowszej wersji, aby naprawić podatności zabezpieczeń.
https://support.omadanetworks.com/pl/download/ (dla produktów z Europy)
https://support.omadanetworks.com/us/download/ (dla produktów z USA)
- Zmienić hasło po wykonaniu aktualizacji oprogramowania, aby zminimalizować potencjalne ryzyko wycieku hasła.
Zastrzeżenie:
Jeśli nie wykonasz powyższych zalecanych działań, podatność bezpieczeństwa będzie nadal występować. TP-Link nie ponosi jakiejkolwiek odpowiedzialności za konsekwencje których można było uniknąć, stosując się do zalecanych działań w tym oświadczeniu.
