Declaración sobre la vulnerabilidad RCE de Spring Framework

04-02-2022
42278

TP-Link es consciente de la vulnerabilidad RCE CVE-2022-22965 en Spring Framework. Según la información oficial, los requisitos previos para esta vulnerabilidad son los siguientes.

  • Spring Framework: 5.3.0 a 5.3.17, 5.2.0 a 5.2.19, las versiones anteriores no compatibles también se ven afectadas
  • JDK 9 o superior
  • Apache Tomcat como contenedor de Servlet
  • Empaquetado como WAR (GUERRA)
  • dependencia spring-webmvc o spring-webflux

En TP-Link, la seguridad del cliente es lo primero. TP-Link está monitoreando e investigando de cerca la vulnerabilidad y seguirá actualizando este aviso a medida que haya más información disponible.

Productos de TP-Link potencialmente afectados:

DPMS (DeltaStream PON Management System) utiliza Spring Framework y es compatible con Java 8 (OpenJDK-8) y superior desde la versión 5.0. Sin embargo, su uso de Spring Framework no cumple con los requisitos previos anteriores y nuestra simulación de ataque/escaneo de vulnerabilidad resulta en una falla.

Sin embargo, dado que la naturaleza de la vulnerabilidad es más general, le recomendamos que baje a Java 8 (OpenJDK-8) para ejecutar DPMS. TP-Link actualizará Spring Framework integrado para corregir la vulnerabilidad en actualizaciones posteriores.

Productos TP-Link no afectados:

Todo el enrutador Wi-Fi

Todo Wi-Fi de malla (Deco)

Todo el extensor de rango

Todos los adaptadores Powerline

Todos los productos Wi-Fi móvil

Todos los enrutadores SMB, Switch, Omada EAP y Pharos CPE

Todos los productos VIGI

Todos los productos GPON

APP: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

Descargo de responsabilidad

La vulnerabilidad permanecerá si no realiza todas las acciones recomendadas. TP-Link no puede asumir ninguna responsabilidad por las consecuencias que podrían haberse evitado siguiendo las recomendaciones de esta declaración.