Komunikat dotyczący podatności bezpieczeństwa w Kontrolerach Omada (CVE-2025-9520, CVE-2025-9521, CVE-2025-9522)

Opis podatności bezpieczeństwa:

• CVE-2025-9520: Podatność IDOR, która umożliwia osobie atakującej z uprawnieniami Administratora na manipulację żądaniami i potencjalne przejęcie konta Właściciela.
• CVE-2025-9521: Podatność pominięcia potwierdzenia hasła, która umożliwia osobie atakującej z ważnym tokenem sesji na pominięcie drugorzędnej weryfikacji.
• CVE-2025-9522: Blind Server-Side Request Forgery (SSRF) przez funkcjonalność Webhook, umożliwiające tworzenie spreparowanych żądań do wewnętrznych usług.

Wpływ podatności:

CVE-2025-9520:

Pełne przejęcie konta Właściciela, przydzielające pełną kontrolę administracyjną nad Kontrolerem Omada i podłączonymi usługami.

CVSS v4.0 Wynik: 8.3 / Wysoki

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:N/SC:L/SI:H/SA:L

CVE-2025-9521:

Osoba atakująca z ważnym tokenem sesji może być w stanie pominąć drugorzędną weryfikację i zmienić hasło użytkownika bez prawidłowego potwierdzenia, prowadząc do osłabienia bezpieczeństwa konta.

CVSS v4.0 Wynik: 2.1 / Niski

CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

CVE-2025-9522:

Może umożliwiać wyliczenie informacji.

CVSS v4.0 Wynik: 5.1 / Średni

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

Lista produktów, wersji i poprawek:

Zalecenia:

Stanowczo zalecamy użytkownikom wspomnianych urządzeń podjęcie następujących czynności:

1. Pobrać i zaktualizować oprogramowanie do najnowszej wersji, aby naprawić podatności zabezpieczeń.

Produkty z Europy: Centrum pobierania | Omada Networks Polska

Produkty z USA: Centrum pobierania | Omada Networks USA

Zastrzeżenie:

Jeśli nie wykonasz powyższych zalecanych działań, podatność bezpieczeństwa będzie nadal występować. TP-Link nie ponosi jakiejkolwiek odpowiedzialności za konsekwencje których można było uniknąć, stosując się do zalecanych działań w tym oświadczeniu.