TP-Link Deco BE25 におけるコマンドインジェクションおよびパストラバーサルの脆弱性に関するセキュリティアドバイザリ（CVE-2026-0654、CVE-2026-0655、CVE-2026-22229）

脆弱性の内容および影響:

CVE-2026-0654: コマンドインジェクションの脆弱性

管理用Webインターフェースにおける入力処理が不適切なため、細工された入力がOSコマンドの一部として実行される可能性があります。認証済みの同一ネットワーク上の攻撃者が、細工された設定ファイルを利用して任意のコマンドを実行できる可能性があり、デバイスの機密性・完全性・可用性に影響を与えるおそれがあります。

CVSS v4.0 スコア: 8.5 / 高

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

CVE-2026-0655: パストラバーサルの脆弱性

Webモジュールにおいて、パス名を制限されたディレクトリ内に適切に制限していないこと（「パストラバーサル」）により、認証済みの同一ネットワーク上の攻撃者が任意のファイルを読み取ったり、サービス拒否を引き起こしたりする可能性があります。

CVSS v4.0 スコア: 6.9 / 中

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:H/SC:N/SI:N/SA:L

CVE-2026-22229（既に公開されている脆弱性）

Security Advisory on Authenticated Command Injection Vulnerabilities on Archer BE230 (CVE-2026-0630, CVE-2026-0631, CVE-2026-22221-22227, CVE-2026-22229) | TP-Link で以前に公開された内容で、本製品にも影響します。脆弱性の詳細は変更されていないため、元のアドバイザリを参照してください。

影響を受ける製品 / バージョンおよび修正状況:

推奨事項:

影響を受けるデバイスをご利用のユーザーには、以下の対応を強く推奨します。

1. 脆弱性を修正するため、最新のファームウェアをダウンロードして更新してください。

日本: Deco BE25 のダウンロード | TP-Link

謝辞

caprinuxx、jro、sunshinefactory の各氏が責任ある形で本問題を報告してくださったことに感謝します。

免責事項:

推奨されるすべての対策を実施しない場合、この脆弱性は残ったままとなります。本アドバイザリに従うことで回避できた可能性のある結果について、TP-Link は一切の責任を負いません。