VietNetwork.Vn

TP-Link đã phát hành bản cập nhật bảo mật để giải quyết bốn lỗ hổng bảo mật ảnh hưởng đến các thiết bị cổng Omada, bao gồm hai lỗi nghiêm trọng có thể dẫn đến việc thực thi mã tùy ý.


Các lỗ hổng bảo mật được đề cập được liệt kê dưới đây:

    CVE-2025-6541 (Điểm CVSS: 8,6) - Lỗ hổng tiêm lệnh hệ điều hành có thể bị kẻ tấn công khai thác bằng cách đăng nhập vào giao diện quản lý web để chạy các lệnh tùy ý
    CVE-2025-6542 (Điểm CVSS: 9,3) - Lỗ hổng tiêm lệnh hệ điều hành có thể bị kẻ tấn công từ xa không xác thực khai thác để chạy các lệnh tùy ý
    CVE-2025-7850 (Điểm CVSS: 9,3) - Lỗ hổng tiêm lệnh hệ điều hành có thể bị kẻ tấn công khai thác bằng cách nắm giữ mật khẩu quản trị viên của cổng thông tin web để chạy các lệnh tùy ý
    CVE-2025-7851 (Điểm CVSS: 8,7) - Lỗ hổng quản lý đặc quyền không phù hợp có thể bị kẻ tấn công khai thác để chiếm quyền root shell trên hệ điều hành cơ bản trong điều kiện hạn chế

TP-Link cho biết trong một khuyến cáo được phát hành hôm thứ Ba: "Kẻ tấn công có thể thực hiện các lệnh tùy ý trên hệ điều hành cơ bản của thiết bị".

Các vấn đề ảnh hưởng đến các phiên bản và mẫu sản phẩm sau:

    ER8411 < 1.3.3 Bản dựng 20251013 Rel.44647
    ER7412-M2 < 1.1.0 Bản dựng 20251015 Rel.63594
    ER707-M2 < 1.3.1 Bản dựng 20251009 Rel.67687
    ER7206 < 2.2.2 Bản dựng 20250724 Rel.11109
    ER605 < 2.3.1 Bản dựng 20251015 Rel.78291
    ER706W < 1.2.1 Bản dựng 20250821 Rel.80909
    ER706W-4G < 1.2.1 Bản dựng 20250821 Rel.82492
    ER7212PC < 2.1.3 Bản dựng 20251016 Rel.82571
    G36 < 1.1.4 Bản dựng 20251015 Rel.84206
    G611 < 1.2.2 Bản dựng 20251017 Phiên bản 45512
    FR365 < 1.1.10 Bản dựng 20250626 Rel.81746
    FR205 < 1.0.3 Bản dựng 20251016 Rel.61376
    FR307-M2 < 1.2.5 Bản dựng 20251015 Rel.76743

Mặc dù TP-Link không đề cập đến các lỗ hổng đang bị khai thác ngoài thực tế, nhưng người dùng được khuyên nên nhanh chóng tải xuống và cập nhật lên phần mềm mới nhất để vá các lỗ hổng.

"Hãy kiểm tra cấu hình của thiết bị sau khi nâng cấp chương trình cơ sở để đảm bảo rằng mọi cài đặt vẫn chính xác, an toàn và phù hợp với sở thích dự định", công ty cho biết thêm.

Trong tuyên bố từ chối trách nhiệm, công ty cũng lưu ý rằng họ không chịu bất kỳ trách nhiệm nào về bất kỳ hậu quả nào có thể phát sinh nếu các hành động được khuyến nghị nêu trên không được tuân thủ.