TP-Link修補Omada閘道器4項漏洞　2項可允許執行任意指令

TP-Link本周針對旗下Omada閘道器軟體4項漏洞發布安全公告，包含2個可導致任意指令執行的重大漏洞。

這4個漏洞為CVE-2025-6541、CVE-2025-6542及CVE-2025-7850、CVE-2025-7851。其中CVE-2025-6542允許遠端未授權攻擊者在OS上執行任意指令。CVE-2025-7850則讓握有Omada閘道器Web portal管理員密碼的攻擊者在Omada上執行任意指令。兩者同為CVSS score 9.3的重大漏洞。

CVE-2025-6541也是作業系統指令注入漏洞，讓具有Web管理介面憑證的攻擊者執行任意OS指令。CVE-2025-7851則讓攻擊者在特定條件，取得在Omada閘道OS的root shell（即最高權限）。兩者風險值分別為CVSS score 8.7及8.6，同屬重大漏洞。

同時受4項漏洞影響的軟體，包括FR205/FR 365/FR 307-M2、G611/G36、ER605、ER706W/706W-4G、ER707M2、ER7206、ER7212PC等13項韌體。TP-Link未說明這些漏洞是否遭到濫用。

這家網路設備廠商已釋出最新版本軟體，強烈呼籲用戶儘早下載最新版韌體修補漏洞。針對CVE-2025-6541和CVE-2025-6542，廠商建議用戶在更新後，檢查裝置配置，確保所有設定未被變更。針對CVE-2025-7850和CVE-2025-7851，TP-Link建議用戶更新後變更密碼，防範密碼已經外洩。

TP-Link上個月才傳出路由器Archer AX 10/AX1500發現CWMP漏洞CVE-2025-9961，以及5年前Wi-Fi設備老漏洞CVE-2020-24363遭到濫用。