Archer AX53における複数の脆弱性に関して (CVE-2026-30814, CVE-2026-30815, CVE-2026-30816, CVE-2026-30817, CVE-2026-30818)
TP-Link Archer AX53 v1.0のtmpserver、dnsmasq、OpenVPNモジュールにおいて、複数の脆弱性が確認されました。
脆弱性および影響の説明:
1. OSコマンドインジェクションの脆弱性
CVE-2026-30815: OpenVPNモジュール
OpenVPNモジュールにおけるOSコマンドインジェクションの脆弱性により、入力値の検証が不十分なため、細工された設定ファイルが処理された際に、認証済みで隣接ネットワーク上にいる攻撃者がシステムコマンドを実行できる可能性があります。
この脆弱性の悪用に成功すると、設定ファイルの改ざん、機密情報の漏えい、またはデバイスの完全性のさらなる侵害につながる可能性があります。
CVE-2026-30818: dnsmasqモジュール
dnsmasqモジュールにおけるOSコマンドインジェクションの脆弱性により、入力値の検証が不十分なため、細工された設定ファイルが処理された際に、認証済みで隣接ネットワーク上にいる攻撃者が任意のコードを実行できる可能性があります。
この脆弱性の悪用に成功すると、攻撃者はデバイス設定を改ざんしたり、機密情報にアクセスしたり、システムの完全性をさらに侵害したりする可能性があります。
CVSS v4.0スコア: 8.5 / 高
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
2. バッファオーバーフローの脆弱性
CVE-2026-30814: tmpServerモジュール
tmpServerモジュールにおけるスタックベースのバッファオーバーフローにより、認証済みで隣接ネットワーク上にいる攻撃者が、細工された設定ファイルを介してセグメンテーションフォルトを引き起こし、任意のコードを実行する可能性があります。
この脆弱性の悪用に成功すると、クラッシュが発生する可能性があり、さらに任意のコード実行が可能となることで、デバイス状態の改ざん、機密データの漏えい、またはデバイスの完全性のさらなる侵害につながる可能性があります。
CVSS v4.0スコア: 7.3 / 高
CVSS:4.0/AV:A/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
3. 任意ファイル読み取りの脆弱性
CVE-2026-30816: OpenVPNモジュール
OpenVPNモジュールにおける外部設定制御の脆弱性により、悪意のある設定ファイルが処理された際に、認証済みで隣接ネットワーク上にいる攻撃者が任意のファイルを読み取ることが可能になります。この脆弱性の悪用に成功すると、デバイス上の任意ファイルへ不正アクセスされ、機密情報が漏えいする可能性があります。
CVE-2026-30817: dnsmasqモジュール
OpenVPNモジュールにおける外部設定制御の脆弱性により、悪意のある設定ファイルが処理された際に、認証済みで隣接ネットワーク上にいる攻撃者が任意のファイルを読み取ることが可能になります。この脆弱性の悪用に成功すると、デバイス上の任意ファイルへ不正アクセスされ、機密情報が漏えいする可能性があります。
CVE-2026-30816およびCVE-2026-30817の深刻度
CVSS v4.0スコア: 6.8 / 中
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
影響を受ける製品/バージョンおよび修正状況:
|
製品モデル |
影響を受けるバージョン |
|
Archer AX53 v1.0 |
1.7.1 Build 20260213より前のバージョン |
推奨事項:
影響を受けるデバイスをご利用のユーザーには、以下の対応を強く推奨します。
- 脆弱性を修正するため、最新のファームウェアをダウンロードしてアップデートしてください。
日本: Archer AX53のダウンロード | TP-Link
免責事項:
推奨されるすべての対応を実施しない場合、これらの脆弱性は残る可能性があります。本アドバイザリに従っていれば回避できた結果について、TP-Linkは一切の責任を負いません。
このFAQは役に立ちましたか?
サイトの利便性向上にご協力ください。
TP-Link Community
Still need help? Search for answers, ask questions, and get help from TP-Link experts and other users around the world.