TP-Link ha publicado actualizaciones de seguridad para abordar cuatro fallas de seguridad que afectan a los dispositivos de puerta de enlace Omada, incluidos dos errores críticos que podrían resultar en la ejecución de código arbitrario.
Las vulnerabilidades en cuestión se enumeran a continuación:
- CVE-2025-6541 (Puntuación CVSS: 8,6): una vulnerabilidad de inyección de comandos del sistema operativo que podría ser aprovechada por un atacante que pueda iniciar sesión en la interfaz de administración web para ejecutar comandos arbitrarios.
- CVE-2025-6542 (Puntuación CVSS: 9,3): una vulnerabilidad de inyección de comandos del sistema operativo que podría ser aprovechada por un atacante remoto no autenticado para ejecutar comandos arbitrarios.
- CVE-2025-7850 (Puntuación CVSS: 9,3): una vulnerabilidad de inyección de comandos del sistema operativo que podría ser aprovechada por un atacante en posesión de una contraseña de administrador del portal web para ejecutar comandos arbitrarios.
- CVE-2025-7851 (Puntuación CVSS: 8,7): una vulnerabilidad de gestión de privilegios inadecuada que podría ser aprovechada por un atacante para obtener el shell raíz en el sistema operativo subyacente en condiciones restringidas.
«Los atacantes pueden ejecutar comandos arbitrarios en el sistema operativo subyacente del dispositivo», dijo TP-Link en un aviso publicado el martes.
Los problemas afectan a los siguientes modelos y versiones de productos:
- ER8411
- ER7412-M2
- ER707-M2
- ER7206
- ER605
- ER706W
- ER706W-4G
- ER7212PC
- G36
- G611
- FR365
- FR205
- FR307-M2
Si bien TP-Link no menciona las fallas que se están explotando en la naturaleza, se recomienda que los usuarios se muevan rápidamente para descargar y actualizar el firmware más reciente para corregir las vulnerabilidades.
«Verifique las configuraciones del dispositivo después de la actualización del firmware para garantizar que todas las configuraciones sigan siendo precisas, seguras y alineadas con las preferencias previstas», agregó.
También señaló en un descargo de responsabilidad que no puede asumir ninguna responsabilidad por las consecuencias que puedan surgir si no se siguen las acciones recomendadas antes mencionadas.