TP-Link TL-WA850REおよび日本未発売製品の脆弱性に関して (CVE-2025-14737, CVE-2025-14738, CVE-2025-14739)
4601 重要な情報:
以下のデバイスはサポート終了しています(EOL)。そのため、「推奨事項」セクションを必ず慎重に確認してください。
脆弱性の説明:
TP-Link 無線LAN中継器 TL-WA850RE V2およびV3(httpd モジュール)において:
コマンドインジェクションの脆弱性により、認証済みの近接攻撃者が任意のコマンドを注入できる可能性があります。
不適切な認証の脆弱性により、未認証の攻撃者が設定ファイルをダウンロードできる可能性があります。
TP-Link WR940N V5(日本未発売)および WR941ND V6(日本未発売)において:
未初期化ポインタへのアクセスに関する脆弱性により、ローカルの未認証攻撃者がサービス停止(DoS)攻撃を実行でき、場合によっては root ユーザー権限で任意のコードを実行できる可能性があります。
影響:
TP-Link WA850RE において:
コマンドインジェクションの脆弱性により、認証済みの近接攻撃者が root 権限で任意のコマンドを実行できる可能性があります。この問題は、未認証設定情報漏えいの脆弱性と組み合わさることで、さらに深刻になります。
不適切な認証の脆弱性により、未認証の攻撃者が設定ファイルをダウンロードできてしまいます。このファイルを取得されると、管理者認証情報やその他の機密情報が漏えいします。
WA850RE コマンドインジェクションの脆弱性
CVSS v4.0 スコア:7.1 / 高
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P
WA850RE 未認証設定情報漏えいの脆弱性
CVSS v4.0 スコア:5.7 / 中
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:P
TP-Link WR940N および WR941ND において:
未初期化ポインタの脆弱性を悪用されると、ローカルの未認証攻撃者がデバイスをクラッシュさせ(DoS)、深刻な場合には root 権限で任意のコードを実行され、システム全体が侵害される可能性があります。
CVSS v4.0 スコア:6.8 / 中
CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P
影響を受ける製品/バージョンおよび修正情報:
|
影響を受ける製品モデル |
関連する脆弱性 |
影響を受けるバージョン |
|
WA850RE V2 WA850RE V3 WA940N V5(日本未発売) WR941ND V6(日本未発売) |
CVE-2025-14737 および CVE-2025-14738 CVE-2025-14739 CVE-2025-14739 |
<= V2_160527 <= V3_160922 <= 3.20.1 Build 200316 <= 3.16.9 Build 151203 |
推奨事項:
影響を受けるデバイスを使用している場合、以下の対応を強く推奨します。
- 以下のリンクから最新のファームウェアをダウンロードし、更新してください。
https://www.tp-link.com/jp/support/download/tl-wa850re/v2/#Firmware
https://www.tp-link.com/jp/support/download/tl-wa850re/v3/#Firmware
免責事項:
上記の推奨対応を実施しない場合、当該脆弱性は解消されません。本声明に記載された推奨対応を実施していれば回避できた結果について、TP-Link は一切の責任を負いません。
このFAQは役に立ちましたか?
サイトの利便性向上にご協力ください。