Declaración sobre la vulnerabilidad Spring Framework RCE (para el controlador de software Omada)

TP-Link está al tanto de la vulnerabilidad de RCE CVE-2022-22965 en el Framework de Spring. Según la información oficial, los requisitos previos para esta vulnerabilidad son los siguientes:

• Framework de Spring: 5.3.0 a 5.3.17, 5.2.0 a 5.2.19, versiones más antiguas y no compatibles también están afectadas
• JDK 9 o superior
• Apache Tomcat como contenedor Servlet
• Empaquetado como WAR
• Dependencia de spring-webmvc o spring-webflux

En TP-Link, la seguridad del cliente es lo primero. TP-Link está monitoreando de cerca e investigando la vulnerabilidad y seguirá actualizando este aviso a medida que haya más información disponible.

Productos de TP-Link Potencialmente Afectados:

Controlador de Software Omada utiliza el Framework de Spring y es compatible con Java 8 (OpenJDK-8) y superior desde la versión 5.0. Sin embargo, su uso del Framework de Spring no cumple con los requisitos mencionados anteriormente y nuestros resultados de simulación de ataque/escaneo de vulnerabilidades dan como resultado un Fracaso.

Sin embargo, dado que la naturaleza de la vulnerabilidad es más general, recomendamos que retrocedas a Java 8 (OpenJDK-8) para ejecutar el controlador. Para guías más detalladas, consulta nuestra comunidad.

Tanto el Controlador de Hardware Omada (OC200 v1/v2, OC300) como el Controlador Basado en la Nube de Omada utilizan OpenJDK-8 y, por lo tanto, no se ven afectados por esta vulnerabilidad. TP-Link actualizará el Framework de Spring incorporado para corregir la vulnerabilidad en actualizaciones posteriores.

Productos de TP-Link No Afectados:

Todos los Routers Wi-Fi

Todos los Wi-Fi Mesh (Deco)

Todos los Extensores de Rango

Todos los Adaptadores Powerline

Todos los productos de Wi-Fi Móvil

Todos los Routers, Switches, Omada EAP y Pharos CPE de SMB

Todos los productos VIGI

APP: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

Aviso Legal

La vulnerabilidad persistirá si no se toman todas las acciones recomendadas. TP-Link no puede asumir ninguna responsabilidad por las consecuencias que podrían haberse evitado siguiendo las recomendaciones en esta declaración.