Las fallas críticas en los enrutadores VPN TP-Link Omada y Festa podrían permitir a los atacantes tomar el control de un dispositivo. según un informe publicado el jueves de Forescout Research – Vedere Labs.
Una vulnerabilidad, rastreada como CVE-2025-7850podría permitir la inyección de comandos del sistema operativo mediante un saneamiento inadecuado de la entrada del usuario, según los investigadores. La falla, que tiene una puntuación de gravedad de 9,3, en algunos casos puede explotarse sin requerir credenciales para el dispositivo.
Una segunda vulnerabilidad, rastreada como CVE-2025-7851permite el acceso raíz a través de código de depuración residual y tiene una puntuación de gravedad de 8,7. La falla expone una funcionalidad oculta que permite el inicio de sesión de root a través de SSH, dijeron los investigadores de Forescout a Cybersecurity Dive.
Los dispositivos TP-Link han sido objeto de actividades de explotación en el pasado, incluidas grandes botnets como Quad7, afirma Daniel dos Santos, jefe de investigación de Forescout Research.
Esos ataques involucraron a grupos de amenazas vinculados a China. dirigido a cuentas de Microsoft 365 con ataques de pulverización de contraseñas.
Los investigadores dijeron que no tienen conocimiento de ninguna explotación que involucre las vulnerabilidades recién encontradas, pero dado que una está clasificada como crítica y la otra como de alta gravedad, los usuarios deben aplicarla de inmediato. nuevas actualizaciones de firmware emitidas por TP-Link.
TP-Link también instó a los usuarios a aplicar las actualizaciones de inmediato y cambiar las contraseñas una vez que se completen las actualizaciones.
Durante el análisis de Forescout, los investigadores también descubrieron vulnerabilidades adicionales y están coordinando con TP-Labs para abordar esos problemas también. Algunas de las fallas son críticas y permiten la explotación remota. Forescout no reveló ningún detalle sobre esas vulnerabilidades adicionales, pero dijo que espera que TP-Labs las solucione en el primer trimestre de 2026.
Fuente