TP-Link закрыла критическую дыру в 13 шлюзах Omada: удалённый root-доступ без пароля ликвидирован
TP-Link сообщила о выпуске экстренных прошивок для шлюзов Omada серий ER, G и FR. Обновления устраняют четыре опасные уязвимости, самая серьёзная из которых, CVE-2025-6542, получила 9,3 балла по шкале CVSS и позволяет удалённому неаутентифицированному злоумышленнику выполнить произвольный код на устройстве и получить права root.
Под удар попали 13 моделей: ER8411, ER7412-M2, ER707-M2, ER7206, ER605, ER706W, ER706W-4G, ER7212PC, G36, G611, FR365, FR205 и FR307-M2. После установки свежей прошивки риск эксплуатации CVE-2025-6542 полностью устранён, подчёркивает производитель.
Вторая брешь, CVE-2025-6541 (8,6 балла), требует авторизации в веб-интерфейсе, но даёт тот же результат — выполнение любых команд и полный контроль над шлюзом. Параллельно закрыты CVE-2025-8750 (9,3 балла) и CVE-2025-7851 (8,7 балла). Обе проблемы затрагивают перечисленные устройства, а их эксплуатация возможна при наличии учётных данных администратора и приводит к получению root-доступа в базовой ОС.
TP-Link советует администраторам малого и среднего бизнеса немедленно установить исправления, а после обновления проверить целостность конфигурации и перечень учетных записей. Компания также напоминает о необходимости отключать удалённый доступ, если он не используется, и использовать уникальные сложные пароли.
Линейка Omada позиционируется как «всё-в-одном»-решение — маршрутизатор, файрвол и VPN-шлюз — что делает устройства популярными на площадках с распределённой инфраструктурой. Именно поэтому широкий спектр затронутых моделей повышает значимость патча.
TP-Link, основанная в 1996 году в Шэньчжэне, остаётся мировым лидером по поставкам WLAN-оборудования и присутствует в 170 странах. Производитель регулярно публикует бюллетени безопасности, однако столь критичные дыры в бизнес-линейке фиксируются редко. На этот раз все четыре уязвимости закрыты единым обновлением, которое уже доступно на сайте поддержки.
