Archer MR600 における認証済みコマンドインジェクション脆弱性（CVE-2025-14756）に関するセキュリティアドバイザリ

脆弱性の概要：

TP-Link Archer MR600 v5のファームウェアに含まれる管理画面コンポーネントにおいて、コマンドインジェクションの脆弱性が確認されました。認証済みの攻撃者は、ブラウザの開発者コンソールから細工した入力を行うことで、文字数に制限はあるものの、システムコマンドを実行することが可能です。

影響：

本脆弱性により、認証済みの攻撃者が管理画面を介してシステムコマンドを注入でき、サービス停止や機器の完全な侵害につながる可能性があります。

CVSS v4.0 スコア：8.5 / 高

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

影響を受ける製品／バージョンおよび修正：

推奨事項：

影響を受ける機器を使用しているユーザーには、以下の対応を強く推奨します。

1. 脆弱性を修正するため、最新のファームウェアをダウンロードして更新してください。ファームウェアのアップグレード方法はこちら（https://www.tp-link.com/jp/support/faq/4932/）をご覧ください。

Archer MR600 のコンテンツ | TP-Link 日本

免責事項：

本アドバイザリで推奨されているすべての対応を実施しない場合、本脆弱性に関する問題は解消されません。本アドバイザリに従うことで回避可能であった結果について、TP-Link は一切の責任を負いません。