Déclaration sur la vulnérabilité RCE de Spring Framework

Avis de Sécurité
Mis à jour04-01-2022 13:03:07 PM 30620
Ce document concerne les modèles suivants : 

TP-Link est conscient de la vulnérabilité RCE CVE-2022-22965 dans Spring Framework. Selon les informations officielles, les conditions préalables à cette vulnérabilité sont les suivantes.

  • Spring Framework : 5.3.0 à 5.3.17, 5.2.0 à 5.2.19, les anciennes versions non prises en charge sont également affectées
  • JDK 9 ou supérieur
  • Apache Tomcat comme conteneur de servlet
  • Emballé comme WAR
  • dépendance spring-webmvc ou spring-webflux

Chez TP-Link, la sécurité du client passe avant tout. TP-Link surveille de près et enquête sur la vulnérabilité et continuera à mettre à jour cet avis au fur et à mesure que de plus amples informations seront disponibles.

Produits TP-Link potentiellement concernés :

Omada Software Controller utilise Spring Framework et prend en charge Java 8 (OpenJDK-8) et supérieur depuis la version 5.0. Cependant, son utilisation du Spring Framework ne répond pas aux conditions préalables ci-dessus et notre analyse de simulation d'attaque/vulnérabilité aboutit à un échec.

Néanmoins, étant donné que la nature de la vulnérabilité est plus générale, nous vous recommandons de rétrograder vers Java 8 (OpenJDK-8) pour exécuter le contrôleur. Pour des guides plus détaillés, veuillez vous référer à notre communauté .

Le contrôleur matériel Omada (OC200 v1/v2, OC300) et le contrôleur basé sur le cloud Omada utilisent OpenJDK-8 et ne sont donc pas affectés par cette vulnérabilité. TP-Link mettra à jour le Spring Framework intégré pour corriger la vulnérabilité dans les mises à jour ultérieures.

Produits TP-Link non concernés :

Tous les routeurs Wi-Fi

Tous les WiFi Mesh (Deco)

Tous les répéteurs

Tous les CPL

Tous les produits WiFi mobiles

Tous les routeurs Pro, Switches, Omada EAP et Pharos CPE

Tous les produits VIGI

APP: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

Avertissement

La vulnérabilité demeurera si vous ne prenez pas toutes les mesures recommandées. TP-Link ne peut assumer aucune responsabilité pour les conséquences qui auraient pu être évitées en suivant les recommandations de cette déclaration.

Est-ce que ce FAQ a été utile ?

Vos commentaires nous aideront à améliorer ce site.

De United States?

Infos produits, événements, services pour votre pays.