Source: Truesec (référence citée) — Contexte: divulgation et exploitation active de deux vulnérabilités critiques affectant des passerelles TP-Link Omada.
• Deux vulnérabilités critiques sont décrites: CVE-2025-7850 (injection de commandes via le portail web après authentification administrateur) et CVE-2025-7851 (accès shell root). Ces failles peuvent être chaînées pour aboutir à une compromission complète du système.
• Impact et vecteur: l’exploitation de CVE-2025-7850 via l’interface web permet l’exécution de commandes arbitraires avec des privilèges étendus, tandis que CVE-2025-7851 fournit un accès root. L’accès nécessite des identifiants administrateur, faisant des compromissions d’identifiants ou menaces internes des facteurs de risque clés. ⚠️ Une exploitation active “in the wild” est signalée et du code de preuve de concept est public.
• Portée: plusieurs modèles TP-Link Omada sont concernés, notamment ER8411, ER7412-M2, ER707-M2 et d’autres. Les versions de micrologiciel affectées couvrent plusieurs gammes, avec des seuils de version spécifiques identifiés pour chaque modèle.
• Mesures de mitigation mentionnées: 🛠️
- Application immédiate des mises à jour/patchs firmware spécifiés.
- Déploiement d’un WAF pour protéger l’interface web d’administration.
- Restriction de l’accès d’administration à distance.
• TTPs observés: exploitation authentifiée de l’interface d’administration web, injection de commandes, élévation de privilèges jusqu’à root, chaînage de vulnérabilités.
Type d’article: rapport de vulnérabilité visant à informer sur les failles, leur exploitation et les mesures d’atténuation.
🔗 Source originale : https://www.truesec.com/hub/blog/tp-link-router-command-injection-and-root-access-vulnerabilities