Declaración sobre la vulnerabilidad Spring Framework RCE (para el controlador de software Omada)

Aviso de seguridad
Actualizado04-15-2024 11:05:59 AM Number of views for this article141297
Este artículo se aplica a:

TP-Link está al tanto de la vulnerabilidad de RCE CVE-2022-22965 en el Framework de Spring. Según la información oficial, los requisitos previos para esta vulnerabilidad son los siguientes:

  • Framework de Spring: 5.3.0 a 5.3.17, 5.2.0 a 5.2.19, versiones más antiguas y no compatibles también están afectadas
  • JDK 9 o superior
  • Apache Tomcat como contenedor Servlet
  • Empaquetado como WAR
  • Dependencia de spring-webmvc o spring-webflux

En TP-Link, la seguridad del cliente es lo primero. TP-Link está monitoreando de cerca e investigando la vulnerabilidad y seguirá actualizando este aviso a medida que haya más información disponible.

Productos de TP-Link Potencialmente Afectados:

Controlador de Software Omada utiliza el Framework de Spring y es compatible con Java 8 (OpenJDK-8) y superior desde la versión 5.0. Sin embargo, su uso del Framework de Spring no cumple con los requisitos mencionados anteriormente y nuestros resultados de simulación de ataque/escaneo de vulnerabilidades dan como resultado un Fracaso.

Sin embargo, dado que la naturaleza de la vulnerabilidad es más general, recomendamos que retrocedas a Java 8 (OpenJDK-8) para ejecutar el controlador. Para guías más detalladas, consulta nuestra comunidad.

Tanto el Controlador de Hardware Omada (OC200 v1/v2, OC300) como el Controlador Basado en la Nube de Omada utilizan OpenJDK-8 y, por lo tanto, no se ven afectados por esta vulnerabilidad. TP-Link actualizará el Framework de Spring incorporado para corregir la vulnerabilidad en actualizaciones posteriores.

Productos de TP-Link No Afectados:

Todos los Routers Wi-Fi

Todos los Wi-Fi Mesh (Deco)

Todos los Extensores de Rango

Todos los Adaptadores Powerline

Todos los productos de Wi-Fi Móvil

Todos los Routers, Switches, Omada EAP y Pharos CPE de SMB

Todos los productos VIGI

APP: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

Aviso Legal

La vulnerabilidad persistirá si no se toman todas las acciones recomendadas. TP-Link no puede asumir ninguna responsabilidad por las consecuencias que podrían haberse evitado siguiendo las recomendaciones en esta declaración.

Preguntas Frecuentes Relacionadas

Buscar Más

¿Es útil este artículo?

Tus comentarios nos ayudan a mejorar esta web.

Productos recomendados