Vulnerabilidades en productos TP-Link

28/10/2025 Noticias 0

Se han descubierto vulnerabilidades de severidad crítica y alta en gateways TP-Link Omada. Un actor malicioso podría ejecutar comandos arbitrarios en el sistema operativo subyacente de los dispositivos afectados.

Productos afectados

  • ER8411: versiones anteriores a la 1.3.3 Build 20251013 Rel.44647
  • ER7412-M2: versiones anteriores a la 1.1.0 Build 20251015 Rel.63594
  • ER707-M2: versiones anteriores a la 1.3.1 Build 20251009 Rel.67687
  • ER7206: versiones anteriores a la 2.2.2 Build 20250724 Rel.11109
  • ER605: versiones anteriores a la 2.3.1 Build 20251015 Rel.78291
  • ER706W: versiones anteriores a la 1.2.1 Build 20250821 Rel.80909
  • ER706W-4G: versiones anteriores a la 1.2.1 Build 20250821 Rel.82492
  • ER7212PC: versiones anteriores a la 2.1.3 Build 20251016 Rel.82571
  • G36: versiones anteriores a la 1.1.4 Build 20251015 Rel.84206
  • G611: versiones anteriores a la 1.2.2 Build 20251017 Rel.45512
  • FR365: versiones anteriores a la 1.1.10 Build 20250626 Rel.81746
  • FR205: versiones anteriores a la 1.0.3 Build 20251016 Rel.61376
  • FR307-M2: versiones anteriores a la 1.2.5 Build 20251015 Rel.76743

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2025-6542: con una puntuación de 9.3 en CVSS v4.0. Existe una vulnerabilidad de inyección de comandos no autenticada. Un actor malicioso podría ejecutar comandos arbitrarios en el dispositivo de forma remota.

CVE-2025-7850: con una puntuación de 9.3 en CVSS v4.0. Existe una vulnerabilidad de inyección de comandos explotable tras autenticación de administrador en el portal web. Un actor malicioso podría ejecutar comandos arbitrarios en el sistema subyacente.

CVE-2025-7851: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad de gestión indebida de mecanismos de depuración que, bajo condiciones restringidas, podría permitir obtener shell de root en el dispositivo.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

  • https://www.cve.org/CVERecord?id=CVE-2025-6542
  • https://www.cve.org/CVERecord?id=CVE-2025-7850
  • https://www.cve.org/CVERecord?id=CVE-2025-7851
  • https://support.omadanetworks.com/en/document/108456/
  • https://support.omadanetworks.com/en/document/108455/