Declaración sobre la vulnerabilidad RCE de Spring Framework

Security Advisory
Actualizado04-01-2022 13:53:48 PM 30614
Este artículo se aplica a: 

TP-Link es consciente de la vulnerabilidad RCE CVE-2022-22965 en Spring Framework. Según la información oficial, los requisitos previos para esta vulnerabilidad son los siguientes.

  • Spring Framework: 5.3.0 a 5.3.17, 5.2.0 a 5.2.19, las versiones anteriores no compatibles también se ven afectadas
  • JDK 9 o superior
  • Apache Tomcat como contenedor de Servlet
  • Empaquetado como WAR
  • dependencia spring-webmvc o spring-webflux

En TP-Link, la seguridad del cliente es lo primero. TP-Link está monitoreando e investigando de cerca la vulnerabilidad y seguirá actualizando este aviso a medida que haya más información disponible.

Productos de TP-Link potencialmente afectados:

Omada Software Controller utiliza Spring Framework y es compatible con Java 8 (OpenJDK-8) y superior desde la versión 5.0. Sin embargo, su uso de Spring Framework no cumple con los requisitos previos anteriores y nuestra simulación de ataque/escaneo de vulnerabilidad resulta en una falla.

Sin embargo, dado que la naturaleza de la vulnerabilidad es más general, le recomendamos que baje a Java 8 (OpenJDK-8) para ejecutar el controlador. Para obtener guías más detalladas, consulte nuestra comunidad .

Tanto el controlador de hardware de Omada (OC200 v1/v2, OC300) como el controlador basado en la nube de Omada usan OpenJDK-8 y, por lo tanto, no se ven afectados por esta vulnerabilidad. TP-Link actualizará Spring Framework integrado para corregir la vulnerabilidad en actualizaciones posteriores.

Productos TP-Link no afectados:

Todo el enrutador Wi-Fi

Todo Wi-Fi de malla (Deco)

Todo el extensor de rango

Todos los adaptadores Powerline

Todos los productos Wi-Fi móvil

Todos los enrutadores SMB, Switch, Omada EAP y Pharos CPE

Todos los productos VIGI

APP: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

Descargo de responsabilidad

La vulnerabilidad permanecerá si no realiza todas las acciones recomendadas. TP-Link no puede asumir ninguna responsabilidad por las consecuencias que podrían haberse evitado siguiendo las recomendaciones de esta declaración.

Looking for More

¿Es útil esta faq?

Sus comentarios nos ayudan a mejorar este sitio.

De United States?

Obtener productos, eventos y servicios para su región.