Рекомендации по безопасности по разрешительной политике веб-безопасности, позволяющей обходить контроль доступа между источниками на облачных контроллерах Omada, а недостаточная проверка сертификата в нескольких мобильных приложениях позволяет перехватывать информацию «человеку посередине» (CVE-2025-9292 и CVE-2025-9293)
9887 Описание уязвимостей и их последствий:
CVE-2025-9292: Либеральная политика веб-безопасности позволяет обойти контроль межсайтового доступа в облачных контроллерах Omada
Либеральная конфигурация веб-безопасности в облачных контроллерах Omada может позволить обойти ограничения межсайтового взаимодействия, применяемые современными браузерами, при определенных обстоятельствах. Для эксплуатации требуется наличие существующей уязвимости типа «внедрение кода на стороне клиента» и доступ пользователя к затронутому веб-интерфейсу.
Успешная эксплуатация может привести к несанкционированному раскрытию конфиденциальной информации.
Оценка CVSS v4.0: 2.0 / Низкий уровень
CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
CVE-2026-9293: Недостаточная проверка сертификатов в нескольких мобильных приложениях позволяет перехватывать трафик методом «человек посередине»
Уязвимость в логике проверки сертификатов может позволить приложениям принимать недоверенные или неправильно проверенные идентификаторы серверов во время TLS-связи. Злоумышленник, имеющий привилегированное положение в сети, может перехватывать или изменять трафик, если он сможет внедриться в канал связи.
Успешная эксплуатация может поставить под угрозу конфиденциальность, целостность и доступность данных приложения.
Оценка CVSS v4.0: 7.7 / Высокий уровень
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:L/SI:N/SA:N
Затронутые продукты/версии и способы устранения:
|
Затронутые приложения |
Затронутая версия |
|
Tapo |
< 3.14.111 |
|
Kasa |
< 3.4.350 |
|
Omada |
< 4.25.25 |
|
Omada Guard |
< 1.1.28 |
|
Tether |
< 4.12.27 |
|
Deco |
< 3.9.163 |
|
Aginet |
< 2.13.6 |
|
tpCamera |
< 3.2.17 |
|
WiFi Toolkit |
< 1.4.28 |
|
Festa |
< 1.7.1 |
|
Wi-Fi Navi |
< 1.5.5 |
|
KidShield |
< 1.1.21 |
|
TP-Partner |
< 2.0.1 |
|
VIGI |
< 2.7.70 |
Рекомендации:
Мы настоятельно рекомендуем пользователям затронутых устройств предпринять следующие действия:
- Для CVE-2025-9292:
Для облачных развертываний Omada никаких действий от пользователя не требуется, так как обновления автоматически применяются в облачной среде после их проверки компанией TP-Link.
- Для CVE-2025-9293:
Пользователям затронутых мобильных приложений следует:
- Открыть Google Play Store
- Проверить наличие доступных обновлений
- Установить последнюю версию приложения (см. подробности выше)
Примечание: Приложения для iOS не затронуты.
Отказ от ответственности:
Если вы не выполните все рекомендуемые действия, данная уязвимость останется. TP-Link не несет ответственности за последствия, которых можно было бы избежать, следуя данному уведомлению.
Полезен ли этот FAQ?
Ваши отзывы помогают улучшить этот сайт.
From United States?
Получайте информацию о продуктах, событиях и услугах для вашего региона.