Archer AXE75における認証済みコマンドインジェクションの脆弱性(CVE-2026-0630およびCVE-2026-22225)、およびDeco BE25における認証済みコマンドインジェクションの脆弱性(CVE-2026-22229)に関するセキュリティアドバイザリ
脆弱性の説明:
以下のコンポーネントにおいて、複数の認証済みOSコマンドインジェクションの脆弱性が確認されました:
- Webモジュール:CVE-2026-0630 および CVE-2026-22222
- VPNモジュール:CVE-2026-0631、CVE-2026-22221、CVE-2026-22223
- クラウド通信モジュール:CVE-2026-22224
- VPN接続サービス:CVE-2026-22225
- VPNサーバー設定モジュール:CVE-2026-22226
- 設定バックアップ復元機能:CVE-2026-22227
- 細工された設定ファイルのインポート:CVE-2026-22229
各CVEは、それぞれ異なる処理経路におけるOSコマンドインジェクションの問題を示しており、個別のCVE IDとして管理されています。
以下のCVE IDは同一のCVSSスコアとなっています:CVE-2026-0630、CVE-2026-0631、CVE-2026-22221〜CVE-2026-22227
CVSS v4.0 スコア:8.5 / 高
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
CVE-2026-22229:細工された設定ファイルのインポート
CVSS v4.0 スコア:8.6 / 高
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
影響:
本脆弱性が悪用された場合、攻撃者がデバイスの管理者権限を完全に取得する可能性があります。その結果、設定の改ざん、ネットワークの安全性低下、サービス停止など重大な影響が発生する恐れがあります。
影響を受ける製品/バージョンおよび修正状況:
|
影響を受ける製品 |
CVE ID |
影響を受けるバージョン |
|
Archer AXE75 v1.0 |
CVE-2026-0630 CVE-2026-22225 |
1.5.3 Build 20260209 rel.71108より前のバージョン |
|
Deco BE25 v1.0 |
CVE-2026-22229 |
1.1.1 Build 20250822より前のバージョン |
推奨事項:
影響を受けるデバイスをご利用の場合、以下の対応を強く推奨します:
- 最新のファームウェアをダウンロードし、アップデートしてください。
Archer AXE75 のダウンロード | TP-Link
謝辞:
jro、caprinuxx、sunshinefactory、Charbel Farhat の各氏より本脆弱性の報告をいただきましたことに感謝いたします。
免責事項:
推奨される対応をすべて実施しない場合、本脆弱性は解消されません。本アドバイザリに従わなかったことにより発生した損害について、TP-Linkは責任を負いかねます。
Looking For More
このFAQは役に立ちましたか?
サイトの利便性向上にご協力ください。
TP-Link Community
Still need help? Search for answers, ask questions, and get help from TP-Link experts and other users around the world.