Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Omada Controllers de TP-Link

Fecha de publicación 27/01/2026
Identificador
INCIBE-2026-057
Importancia
4 - Alta
Recursos Afectados
  • Omada Controllers, versiones anteriores a la 6.0.
  • Software (Win/Linux), Cloud, OC Series (OC200/OC220/OC300/OC400) versiones anteriores a 6.0.0.x.
  • Gateways:
    • ER605 v2.0 versiones anteriores a la 2.3.2 Compilación20251029 Rel.12727;
    • ER7206 v2.0 versiones anteriores a la 2.2.2 Compilación20250724 Rel.11109;
    • ER7406 versiones anteriores a la 1.2.2 Compilación 20250724 Rel.11109;
    • ER707-M2 versiones anteriores a la 1.3.1 Compilación 20251009 Rel.67687;
    • ER7412-M2 versiones anteriores a la 1.1.0 Compilación 20251015 Rel.63594;
    • ER8411 versiones anteriores a la 1.3.5 Compilación 20251028 Rel.06811;
    • ER706W, ER706W-4G, ER706W-4G 2.0, ER706WP-4G, ER703WP-4G-Outdoor versiones anteriores a la 1.2.1 Compilación 20250821 Rel.80909;
    • DR3220v-4G versiones anteriores a la 1.1.0 Compilación 20250801 Rel.81473;
    • DR3650v, DR3650v-4G versiones anteriores a la 1.1.0 Compilación 20250801 Rel.81753;
    • ER701-5G-Outdoor versiones anteriores a la 1.0.0 Versión 20250826 Rel.68862;
    • ER605W 2.0 versiones anteriores a la 2.0.2 Compilación 20250723 Rel.39048;
    • ER7212PC 2.0 versiones anteriores a la 2.2.1 Compilación 20251027 Rel.75129;
    • FR365 versiones anteriores a la 1.1.10 Compilación 20250626 Rel.81746;
    • G36W-4G versiones anteriores a la 1.1.5 Compilación 20250710 Rel.62142;
  • Access Points, en sus respectivas versiones (ver enlace en las referencias):
    • EAP Series (EAP655-Wall, EAP660 HD, EAP620 HD, EAP610, EAP623/625 Outdoor HD, EAP772/770/723/773/783/787, EAP725-Wall;
    • Bridge Kits;
    • Beam Bridge;
    • EAP603GP/EAP615GP/EAP625GP/EAP610GP/EAP650GP, EAP653/EAP650-Outdoor/EAP230/EAP235/EAP603-Outdoor/EAP653 UR/EAP650-Desktop/EAP615-Wall/EAP100-Bridge KIT).
Descripción

TP-Link ha reportado 5 vulnerabilidades; 1 de severidad alta, 3 medias y 1 baja. En el caso de que fuese exitosamente explotadas, podrían permitir a un atacante tener control administrativo, eludir la verificación secundaria y cambiar la contraseña del usuario, enumerar la información, entre otras acciones.

Solución

Para todos los recursos afectados se recomienda actualizar su respectivo firmware a la versión más reciente.

Detalle

CVE-2025-9520: vulnerabilidad de tipo IDOR que podría permitir a un atacante, con permisos de administrador, manipular solicitudes y secuestrar la cuenta del usuario para tomar control absoluto de la cuenta del propietario.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2025-9522, CVE-2025-9289 y CVE-2025-9290.

Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2025-9521.

CVE
Explotación
No
Fabricante
tp-link
Identificador CVE
CVE-2025-9520
Severidad
Alta
Listado de referencias
Security Advisory: Multiple Vulnerabilities in Omada Controllers (CVE-2025-9520, CVE-2025-9521, CVE-2025-9522)
Security Advisory on Cross-Site Scripting Vulnerability on Omada Controllers (CVE-2025-9289), and Authentication Weakness on Omada Controllers, Gateways and Access Points (CVE-2025-9290)
Etiquetas