Declaración sobre la vulnerabilidad RCE de Spring Framework
TP-Link es consciente de la vulnerabilidad RCE CVE-2022-22965 en Spring Framework. Según la información oficial, los requisitos previos para esta vulnerabilidad son los siguientes.
- Spring Framework: 5.3.0 a 5.3.17, 5.2.0 a 5.2.19, las versiones anteriores no compatibles también se ven afectadas
- JDK 9 o superior
- Apache Tomcat como contenedor de Servlet
- Empaquetado como WAR (GUERRA)
- dependencia spring-webmvc o spring-webflux
En TP-Link, la seguridad del cliente es lo primero. TP-Link está monitoreando e investigando de cerca la vulnerabilidad y seguirá actualizando este aviso a medida que haya más información disponible.
Productos de TP-Link potencialmente afectados:
DPMS (DeltaStream PON Management System) utiliza Spring Framework y es compatible con Java 8 (OpenJDK-8) y superior desde la versión 5.0. Sin embargo, su uso de Spring Framework no cumple con los requisitos previos anteriores y nuestra simulación de ataque/escaneo de vulnerabilidad resulta en una falla.
Sin embargo, dado que la naturaleza de la vulnerabilidad es más general, le recomendamos que baje a Java 8 (OpenJDK-8) para ejecutar DPMS. TP-Link actualizará Spring Framework integrado para corregir la vulnerabilidad en actualizaciones posteriores.
Productos TP-Link no afectados:
Todo el enrutador Wi-Fi
Todo Wi-Fi de malla (Deco)
Todo el extensor de rango
Todos los adaptadores Powerline
Todos los productos Wi-Fi móvil
Todos los enrutadores SMB, Switch, Omada EAP y Pharos CPE
Todos los productos VIGI
Todos los productos GPON
APP: Tether, Deco, Tapo, Kasa, tpMiFi, Omada
Descargo de responsabilidad
La vulnerabilidad permanecerá si no realiza todas las acciones recomendadas. TP-Link no puede asumir ninguna responsabilidad por las consecuencias que podrían haberse evitado siguiendo las recomendaciones de esta declaración.