脆弱性の内容および影響：

CVE-2026-0651：ローカルhttps経由のパストラバーサル

TP-Link Tapo C260 v1 において、https経由の特定のGETリクエストパスの処理が不適切であるため、パストラバーサルが可能となる脆弱性が確認されました。これにより、ローカルネットワーク上の未認証の攻撃者が、機器内の特定のファイルパスの存在可否を確認できる可能性があります。ただし、ファイルの読み取り、書き込み、またはコード実行はできません。

CVSS v4.0 スコア：5.3 / Medium

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:L/SI:N/SA:N

CVE-2026-0652：ゲストユーザーによるリモートコード実行

TP-Link Tapo C260 v1 において、設定同期時の特定のPOSTパラメータに対する入力値の検証が不十分であるため、コマンドインジェクションの脆弱性が存在します。認証済みの攻撃者が任意のシステムコマンドを実行でき、機密性・完全性・可用性に重大な影響を及ぼす可能性があります。最悪の場合、機器が完全に侵害されるおそれがあります。

CVSS v4.0 スコア：8.7 / High

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

CVE-2026-0653：不十分なアクセス制御

TP-Link Tapo C260 v1 において、ゲスト権限で認証されたユーザーが、同期用エンドポイントに細工されたリクエストを送信することで、本来のアクセス制限を回避できる脆弱性が確認されました。これにより、限定された権限にもかかわらず、保護された機器設定を変更できる可能性があります。任意の設定変更が可能となりますが、コードの実行までは至りません。

CVSS v4.0 スコア：7.2 / High

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N

影響を受ける製品／バージョンおよび修正情報：

推奨事項：

該当製品をご利用中のお客様には、以下の対応を強く推奨いたします。

1. Tapoアプリ上で最新のファームウェアへ更新して脆弱性を修正してください。

謝辞

本件をご報告いただいた spaceraccoon 氏に感謝いたします。

免責事項：

推奨されるすべての対策を実施しない場合、本脆弱性は解消されません。本アドバイザリに従うことで回避できた可能性のある結果について、TP-Link は一切の責任を負いません。