Inyección de cadena de formato autenticada en Tapo C110 de TP-Link
Tapo C110 v2, versiones anteriores a 1.5.4 Build 260428 Rel.64344n.
TP-Link ha publicado una vulnerabilidad de severidad alta que podría permitir a un atacante remoto autenticado redirigir el flujo de ejecución a funciones internas existentes, lo que desencadenaría un restablecimiento de fábrica.
Se recomienda seguir las instrucciones para actualizar a la última versión del firmware y solucionar las vulnerabilidades
CVE-2026-6250: afecta al servicio ONVIF de la cámara Tapo C110 v2 y se debe a un fallo en la forma en que procesa ciertos datos proporcionados por usuarios autenticados. En lugar de tratar esos datos como texto normal, el sistema los interpreta como una cadena de formato, lo que permite manipular información almacenada en la memoria y alterar el flujo normal de ejecución del programa. Como consecuencia, un atacante remoto que disponga de credenciales válidas puede aprovechar este fallo para forzar la ejecución de funciones internas de la cámara y provocar un restablecimiento de fábrica no autorizado, lo que implica la pérdida de la configuración del dispositivo, la eliminación de credenciales almacenadas y una interrupción temporal o total del servicio.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-6250 | Alta | No | TP-Link |
