Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Omisión de autenticación en una función crítica en VIGI Cameras de TP-Link

Fecha de publicación 22/01/2026
Identificador
INCIBE-2026-049
Importancia
4 - Alta
Recursos Afectados
  • Modelos C345, C445 de las series VIGI Cx45 y VIGI Cx55;
  • Modelos C385, C485 de la serie VIGI Cx85;
  • Modelo C340S de la serie VIGI C340S;
  • Modelos C540S, EasyCam C540S de la serie VIGI C540S;
  • Modelo C540V de la serie VIGI C540V;
  • Modelo C250 de la serie VIGI C250;
  • Modelos C350, C450 de la serie VIGI Cx50;
  • Modelos C220I 1.0, C320I 1.0, C420I 1.0 de la serie VIGI Cx20I (1.0);
  • Modelos C220I 1.20, C320I 1.20, C420I 1.20 de la serie VIGI Cx20I (1.20);
  • Modelos C230I 1.0, C330I 1.0, C430I 1.0 de la serie VIGI Cx30I (1.0);
  • Modelos C230I 1.20, C330I 1.20, C430I 1.20 de la serie VIGI Cx30I (1,20);
  • Modelos C230 1.0, C330 1.0, C430 1.0 de la serie VIGI Cx30 (1.0);
  • Modelos C230 1.20, C330 1.20, C430 1.20 de la serie VIGI Cx30 (1.20);
  • Modelos C240I 1,0, C340I 1,0, C440I 1,0 de la serie VIGI Cx40I (1.0);
  • Modelos C240I 1,20, C340I 1,20, C440I 1,20 de la serie VIGI Cx40I (1.20);
  • Modelo C230I Mini;
  • Modelos C240 1.0, C340 2.0, C440 2.0, C540 2.0, C540‑4G;
  • Modelos C340‑W 2.0/2.20, C440‑W 2.0, C540‑W 2.0 de la serie VIGI Cx40‑W;
  • Modelos C320, C420 de la serie VIGI Cx20;
  • Modelos S245, S345, S445 de la serie VIGI InSight Sx45;
  • Modelos S355, S455 de la serie VIGI InSight Sx55;
  • Modelos S285, S385 de la serie VIGI InSight Sx85;
  • Modelos S245ZI, S345ZI, S445ZI de la serie VIGI InSight Sx45ZI;
  • Modelos S385PI, S485PI de la serie VIGI InSight Sx85PI;
  • Modelo S655I de la serie VIGI InSight S655I;
  • Modelo S345‑4G de la serie VIGI InSight S345‑4G;
  • Modelos S225, S325, S425 de la serie VIGI InSight Sx25.
Descripción

TP-Link ha publicado una vulnerabilidad de severidad alta que afecta a la serie de cámaras VIGI, un sistema de videovigilancia diseñado para pequeñas y medianas empresas. En caso de ser explotada con éxito, un atacante con acceso a la red local (LAN) podría manipular el estado del lado del cliente y restablecer la contraseña de administrador sin necesidad de una verificación previa.

Solución

El fabricante recomienda actualizar a la última versión de firmware::

  • Modelos C345, C445 versión  3.1.0 o superiores;
  • Modelos C355, C455 versión 3.1.0 o superiores;
  • Modelos C385, C485 versión 3.0.2 o superiores;
  • Modelo C340S  versión 3.1.0 o superiores;
  • Modelos C540S, EasyCam C540S  versión 3.1.0 o superiores;
  • Modelo C540V versión 2.1.0 o superiores;
  • Modelo C250 versión 2.1.0 o superiores;
  • Modelos C350, C450 versión 2.1.0 o superiores;
  • Modelos C220I 1.0, C320I 1.0, C420I 1.0 versión 2.1.0 o superiores;
  • Modelos C220I 1.20, C320I 1.20, C420I 1.20 versión 2.1.0 o superiores;
  • Modelos C230I 1.0, C330I 1.0, C430I 1.0 versión 2.1.0 o superiores;
  • Modelos C230I 1.20, C330I 1.20, C430I 1.20 versión 2.1.0 o superiores;
  • Modelos C230 1.0, C330 1.0, C430 1.0 versión 2.1.0 o superiores;
  • Modelos C230 1.20, C330 1.20, C430 1.20 versión 2.1.0 o superiores;
  • Modelos C240I 1,0, C340I 1,0, C440I 1,0 versión 2.1.0 o superiores;
  • Modelos C240I 1,20, C340I 1,20, C440I 1,20 versión 2.1.0 o superiores;
  • Modelo C230I Mini versión 2.1.0 o superiores;
  • Modelos C240 1.0, C340 2.0, C440 2.0, C540 2.0 versión 2.1.0 o superiores;
  • Modelo C540‑4G versión 2.2.0  o superiores;
  • Modelos C340‑W 2.0/2.20, C440‑W 2.0, C540‑W 2.0 versión 2.1.1  o superiores;
  • Modelos C320, C420 versión 2.1.0 o superiores;
  • Modelos S245, S345, S445 versión 3.1.0 o superiores;
  • Modelos S355, S455 versión 3.1.0 o superiores;
  • Modelos S285, S385 versión 3.0.2 o superiores;
  • Modelos S245ZI, S345ZI, S445ZI versión 1.2.0 o superiores;
  • Modelos S385PI, S485PI versión 1.2.0 o superiores;
  • Modelo S655I versión 1.1.1 o superiores;
  • Modelo S345‑4G versión 2.1.0 o superiores;
  • Modelos S225, S325, S425 versión 1.1.0 o superiores.
Detalle

Omisión de autenticación en la función de recuperación de contraseña de la interfaz web local de las cámaras VIGI que, de ser explotada, permitiría a un atacante con acceso a la red local (LAN) manipular el estado del lado del cliente para restablecer la contraseña de administrador y obtener acceso administrativo completo al dispositivo.

A esta vulnerabilidad de severidad alta se le ha asignado el siguiente código: CVE-2026-0629.

CVE
Explotación
No
Fabricante
tp-link
Identificador CVE
CVE-2026-0629
Severidad
Alta
Listado de referencias
Security Advisory on Authentication Bypass in Password Recovery Feature via Local Web App on VIGI Cameras (CVE-2026-0629)
Etiquetas