TP-Link dicht kritiek command injection-lek in Omada-gateways

[Captain Kirk]

TP-Link heeft firmware-updates uitgebracht voor een kritieke kwetsbaarheid in de Omada-gateways waardoor een ongeauthenticeerde aanvaller op afstand OS-commando's op het apparaat kan uitvoeren. Omada-gateways zijn bedoeld als gateway in de wifi-netwerken van mkb-bedrijven en bieden allerlei functionaliteit zoals firewalling en vpn.

Een kwetsbaarheid in de gateway (CVE-2025-6542) maakt het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige OS-commando's op het apparaat uit te voeren, aldus de omschrijving van het beveiligingslek. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.3.

Daarnaast is een beveiligingslek gedicht waardoor een aanvaller die op de webinterface kan inloggen OS-commando's kan uitvoeren. Vanwege deze vereiste is de impact van dit beveiligingslek lager ingeschaald met een 8.6. Voor de volgende modellen zijn firmware-updates beschikbaar: ER8411, ER7412-M2, ER707-M2, ER7206, ER605, ER706W, ER706W-4G, ER7212PC, G36, G611, FR365, FR205 en FR307-M2.

 

bron: https://www.security.nl