Omada Pro official website VIGI official website
Kontakt z nami
Polska / Polski

Komunikat bezpieczeństwa dotyczący narażenia Kontrolera Omada na podatność MongoBleed (CVE-2025-14847)

Luki bezpieczeństwa
ZakładkiSkopiuj link
01-27-2026

Ten komunikat opisuje jak podatność upstream MongoDB “MongoBleed” (CVE‑2025‑14847) wpływa na Kontrolery TP‑Link Omada, warunki pod którymi podatność może wystąpić i zalecane kroki remediacji.

Opis podatności bezpieczeństwa i jej wpływ:

MongoBleed (CVE‑2025‑14847) jest krytyczną podatnością nieuwierzytelnionego ujawnienia pamięci w obsłudze skompresowanych komunikatów sieciowych zlib MongoDB. Ta niedoskonałość upstream może prowadzić do wycieku niezainicjowanego stosu pamięci, potencjalnie powodując wyciek informacji wrażliwych.

CVSS v4.0 Wynik: 8.7 / Wysoki

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Czy dotyczy to Kontrolerów Omada?

Podatność dotyczy kontrolerów Omada tylko w szczególnych warunkach wdrożenia.

MOŻESZ być objęty tą sytuacją, jeśli spełniony jest KTÓRYKOLWIEK z poniższych warunków:

  • Kontroler jest wdrożony w trybie klastra.
  • Powiązanie MongoDB zostało ręcznie zmodyfikowane w omada.properties poprzez zmianę “eap.mongod.host” z domyślnego 127.0.0.1 na większy lub osiągalny z zewnątrz interfejs.
  • W przypadku Kontrolerów programowych Linux, gdy korzystasz z samodzielnie wdrożonego MongoDB oraz
    • Wersję dotyczy podatność
    • i MongoDB nasłuchuje na zewnętrznym interfejsie.

Jeśli ŻADEN z tych warunków nie ma zastosowania:

  • Ryzyko ekspozycji jest ograniczone, a domyślne wdrożenia są niemożliwe do wykorzystania.

Kontrolery oparte na Chmurze NIE są dotknięte tą podatnością.

Model produktu

Wersja z podatnością

Kontrolery sprzętowe

 

OC200 V1

< OC200_V1_1.38.9 / Omada SDN 6.1.0

OC200 V2

< OC200_V2_2.23.9 / Omada SDN 6.1.0

OC220 V1

< OC220_V1_1.3.9 / Omada SDN 6.1.0

OC220 V2

< OC220_V2_2.2.5 / Omada SDN 6.1.0

OC300 V1

< OC300_V1_1.32.9 / Omada SDN 6.1.0

OC400 V1

< OC400_V1_1.10.9 / Omada SDN 6.1.0

Kontrolery programowe

 

Aplikacja Omada Network (Windows)

< v6.1.0.18

Aplikacja Omada Network (Linux)

Zależna od wdrożonego przez użytkownika MongoDB

Podsumowanie warunków podatności:

Kontrolery sprzętowe lub Kontrolery programowe dla systemu Windows

  • Niemożliwe do wykorzystania w domyślnych ustawieniach wdrożenia.
  • Twoje wdrożenie może być objęte podatnością jeśli:
    • Tryb klastra jest włączony LUB
    • eap.mongod.host został ręcznie zmieniony, aby wystawić MongoDB na zewnątrz.

Kontrolery programowe dla systemu Linux

  • Wpływ zależy od samodzielnie wdrożonej wersji MongoDB.
  • Należy sprawdzić:
    • Zainstalowaną wersję MongoDB
    • Czy MongoDB jest wystawione na zewnątrz
    • Czy kompresja zlib jest włączona

Zalecenia i remediacja:

  1. Zaktualizuj do poprawionej wersji (zalecane)

Jeśli korzystasz z kontrolerów sprzętowych wdrożonych w trybie klastra, wtedy aktualizacja jest stanowczo zalecana.

  1. Następujące buildy pre-release Omada SDN 6.1.0 zawierają poprawkę:

Kontrolery sprzętowe:

OC200(UN)_V1_1.38.9_pre-release > Wbudowane w Omada SDN Controller 6.1.0

OC200(UN)_V2_2.23.9_pre-release > Wbudowane w Omada SDN Controller 6.1.0

OC220(UN)_V1_1.3.9_pre-release > Wbudowane w Omada SDN Controller 6.1.0

OC220(UN)_V2_2.2.5_pre-release > Wbudowane w Omada SDN Controller 6.1.0

OC300(UN)_V1_1.32.9_pre-release > Wbudowane w Omada SDN Controller 6.1.0

OC400(UN)_V1_1.10.9_pre-release Wbudowane w Omada SDN Controller 6.1.0

Kontrolery programowe:

Omada_Network_Application_v6.1.0.18 Windows (Zalecany Windows 10/11/Server, 64-bit)

Omada_Network_Application_v6.1.0.18_linux_x64.tar.gz

Omada_Network_Application_v6.1.0.18_linux_x64.deb

Możesz również odwiedzić strony Społeczności biznesowej, aby uzyskać najnowsze oprogramowania pre-release.

Omada_Network_Application_V6.1.x.x Pre-Release Firmware (Aktualizacja 9 Stycznia 2026) - Społeczność biznesowa

Hardware Controllers Omada SDN Controller 6.1 Pre-Release Firmware (Aktualizacja 13 Stycznia 2026) - Społeczność biznesowa

  1. Tymczasowe środki zaradcze (jeśli nie możesz jeszcze wykonać aktualizacji):

Dodaj następującą linijkę do eap.mongod.args w properties/omada.properties:

--networkMessageCompressors snappy

Spowoduje to wyłączenie kompresji zlib i zapobiegnie wykorzystaniu MongoBleed.

  1. Kontrolery dla systemu Linux z samodzielnie wdrożonym MongoDB:

Należy zaktualizować MongoDB korzystając z oficjalnych porad MongoDB:
https://jira.mongodb.org/browse/SERVER-115508

Wersje MongoDB zawierające poprawki:
8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32, 4.4.30

Informacje dotyczące aktualizacji:

  • Mniejsze aktualizacje wersji (np., 7.0.14 → 7.0.28) → Brak problemów z kompatybilnością.
  • Główne aktualizacje wersji (np., 3.6 → 4.4) → Postępuj zgodnie z dodatkowymi krokami poniżej:

Zapoznaj się z poradnikami na stronie Omada:

https://www.omadanetworks.com/pl/support/faq/4398/

https://www.omadanetworks.com/pl/support/faq/4160/

Zastrzeżenie:

Jeśli nie wykonasz powyższych zalecanych działań, podatność bezpieczeństwa będzie nadal występować. TP-Link nie ponosi jakiejkolwiek odpowiedzialności za konsekwencje których można było uniknąć, stosując się do zalecanych działań w tym oświadczeniu.

Prosimy o ocenienie tego biuletynu

Ta witryna wykorzystuje tzw. pliki cookies, aby usprawnić jej przeglądanie, w celu analizy ruchu oraz do jak najlepszej optymalizacji wyświetlanych treści. W każdej chwili można wyłączyć obsługę plików cookies. Więcej informacji na ten temat dostępnych jest w Polityce prywatności

Your Privacy Choices

Ta witryna wykorzystuje tzw. pliki cookies, aby usprawnić jej przeglądanie, w celu analizy ruchu oraz do jak najlepszej optymalizacji wyświetlanych treści. W każdej chwili można wyłączyć obsługę plików cookies. Więcej informacji na ten temat dostępnych jest w Polityce prywatności

Podstawowe Cookies

Te pliki cookies niezbędne są do poprawnego działania witryny i nie moga zostać wyłączone.

TP-Link

SESSION, JSESSIONID, accepted_local_switcher, tp_privacy_banner, tp_privacy_base, tp_privacy_marketing, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Zendesk

OptanonConsent, __cf_bm, __cfruid, _cfuvid, _help_center_session, _pendo___sg__.<container-id>, _pendo_meta.<container-id>, _pendo_visitorId.<container-id>, _zendesk_authenticated, _zendesk_cookie, _zendesk_session, _zendesk_shared_session, ajs_anonymous_id, cf_clearance

Cookies dotyczące analizy i marketingu

Analiza - Te pliki Cookies są wykorzystywane w celu analizy ruchu na naszej stronie, co umożliwia poprawę i dostosowanie wyświetlanych treści.

Marketing - Te pliki Cookies mogą być wykorzystywane przez naszych partnerów reklamowych podczas tworzenia profilu Twoich zainteresowań, co pozwala na wyświetlanie odpowiednich reklam na innych stronach.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au