Komunikat dotyczący Przepełnienia uwierzytelnionego bufora opartego na stosie w Uwierzytelnianiu RTSP na kamerze Tapo C200 (CVE-2026-1871)

Opis podatności bezpieczeństwa i jej wpływ:

CVE-2026-1871

TP-Link Tapo C200 v5 ma podatność przepełnienia bufora opartą na stosie w obsłudze uwierzytelniania RTSP powodową przez nieprawidłową walidację Długości pól nagłówka autoryzacji, która może zostać wyzwolona przez spreparowane żądania uwierzytelnienia.

Pomyślne wykorzystanie luki powoduje, że główna usługa RTSP ulega awarii i wyzwala automatyczne, ponowne uruchomienie systemu, skutkując sytuacją Denial of Service (DoS). Uniemożliwia to prawowitym użytkownikom dostęp do strumienia na żywo z kamery lub interfejsu zarządzania, aż do momentu ponownego uruchomienia się usługi.

CVSS v4.0 Wynik: 7.1 / Wysoki

CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Lista produktów i wersji oprogramowań związanych z opisaną podatnością:

Zalecenia:

Stanowczo zalecamy użytkownikom wspomnianych urządzeń podjęcie następujących działań:

1. Skorzystaj z aplikacji Tapo, aby sprawdzić i zaktualizować oprogramowanie w celu naprawienia podatności.

Dla produktów z USA: Centrum pobierania Tapo C200 | TP-Link USA

Dla produktów z Europy: Centrum pobierania Tapo C200 | TP-Link Polska

Dla produktów z Korei: Centrum pobierania Tapo C200 | TP-Link Korea Południowa

Zastrzeżenia:

Ten komunikat jest wydany wyłącznie w celach informacyjnych i może ulec zmianie bez powiadomienia. Informacje są podawane “tak jak są” bez jakichkolwiek gwarancji. TP-Link zaleca swoim klientom zastosowanie aktualizacji oprogramowania lub zaimplementowanie udokumentowanego rozwiązania w tym komunikacie. Urządzenia i systemy, które nie zostaną zaktualizowane lub nie zostanie ograniczona ich podatność, mogą w dalszym ciągu być zagrożone. TP-Link zrzeka się jakiejkolwiek odpowiedzialności za szkody i straty wynikające z niepowodzenia implementacji podanych aktualizacji.