Se han hecho públicos varios fallos de seguridad que afectan a EAP Controller y que podrían permitir elevar privilegios, descargar, modificar y restaurar una copia de seguridad, y realizar ataques Cross-Site Request Forgery (CSRF) y Cross Site Scripting (XSS).

EAP Controller es un software de gestión para dispositivos TP-Link EAP que permite la administración y supervisión de forma centralizada utilizando un navegador web. En las nuevas versiones, TP-Link ha cambiado el nombre de este software a Omada Controller.

Las vulnerabilidades, descubiertas por Julián Muñoz de Core Security Exploits QA, son las siguientes:

* CVE-2018-10168: la falta de control de privilegios en el uso de la API web permitiría a un usuario limitado realizar cualquier solicitud como administrador.

LEER MAS: https://unaaldia.hispasec.com/2018/05/elevacion-de-privilegios-y-otras.html