- TP-Link ha solucionado cuatro fallos en la puerta de enlace OMADA, dos de ellos considerados críticos para la ejecución del código.
- Hubo tres errores de inyección de comandos; Un shell raíz autorizado mediante escalada de privilegios
- Varios modelos se ven afectados; Una vulnerabilidad crítica no requiere autenticación
El fabricante de equipos de red TP-Link ha parcheado cuatro vulnerabilidades descubiertas en sus productos de puerta de enlace Omada, incluidas dos de gravedad crítica que podrían permitir la ejecución de código arbitrario.
En un aviso de seguridad, TP-Link dijo que tres de las cuatro fallas eran vulnerabilidades de inyección de comandos. El cuarto fue un error de gestión de privilegios inadecuados.
Ambas fallas de inyección de comandos de nivel crítico, rastreadas como CVE-2025-6542 y CVE-2025-7850, tienen una puntuación de gravedad de 9,3/10. Para este último, un atacante también debe tener acceso de administrador al portal web; para el primero, no se requiere autenticación.
Numerosos modelos se ven afectados
Las otras dos fallas se rastrean como CVE-2025-6541 (puntuación 8,6/10) y CVE-2025-7851. El primero es explotable por usuarios con acceso a la interfaz de administración web, mientras que el segundo es una administración inadecuada de privilegios, que permite a los actores de amenazas obtener un shell raíz en el sistema operativo subyacente.
Se dice que varios modelos y versiones de productos se han visto afectados. Aquí está la lista completa:
ER8411 < 1.3.3 Compilación 20251013 Rel.44647
ER7412-M2 < 1.1.0 Compilación 20251015 Rel.63594
ER707-M2 < 1.3.1 Compilación 20251009 Rel.67687
ER7206 < 2.2.2 Compilación 20250724 Rel.11109
ER605 < 2.3.1 Compilación 20251015 Rel.78291
ER706W < 1.2.1 Compilación 20250821 Rel.80909
ER706W-4G < 1.2.1 Compilación 20250821 Rel.82492
ER7212PC < 2.1.3 Compilación 20251016 Rel.82571
G36 < 1.1.4 Compilación 20251015 Rel.84206
G611 < 1.2.2 Compilación 20251017 Rel.45512
FR365 < 1.1.10 Compilación 20250626 Rel.81746
FR205 < 1.0.3 Compilación 20251016 Rel.61376
FR307-M2 < 1.2.5 Compilación 20251015 Rel.76743
TP-Link no mencionó si estas fallas se están explotando en la naturaleza. Sin embargo, los ciberdelincuentes suelen esperar a que las empresas publiquen avisos antes de atacar, sabiendo que muchas empresas rara vez implementan soluciones a tiempo.
a través de Noticias de piratas informáticos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
El mejor antivirus para todos los bolsillos
