TP-Link Archer BE450およびBE7200におけるブラウザ開発者コンソール経由の任意コマンドインジェクションに関するセキュリティアドバイザリ(CVE-2026-5509)
脆弱性および影響の説明:
CVE-2026-5509
Archer BE450 v1およびBE7200 v1ルーターには、認証済みのコマンドインジェクション脆弱性が存在します。この脆弱性により、管理者権限を持つ攻撃者がWeb管理画面を通じて任意のシステムコマンドを実行できる可能性があります。管理画面への認証に成功した後、攻撃者はブラウザの開発者コンソールを利用し、細工した入力を送信することで、十分な無害化処理が行われないままバックエンドのシステムコマンドに渡される可能性があります。
この脆弱性が悪用された場合、デバイス上で昇格された権限により任意のコマンドが実行される可能性があります。これにより、攻撃者は不正なサービスの起動、システム設定の変更、またはルーターの動作環境全体の侵害を行える可能性があります。
CVSS v4.0スコア:8.5 / 高
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
影響を受ける製品/バージョンおよび修正:
|
影響を受ける製品モデル |
影響を受けるバージョン |
|
Archer BE450 v1 |
1.3.0 Build 20260416より前のバージョン |
|
Archer BE7200 v1 |
1.3.0 Build 20260416より前のバージョン |
推奨事項:
影響を受けるデバイスをご利用のお客様には、以下の対応を強く推奨します。
- 脆弱性を修正するため、最新のファームウェアバージョンをダウンロードしてアップデートしてください。
Archer BE450コンテンツ | TP-Link Japan
Archer BE7200コンテンツ | TP-Link Japan
免責事項:
本アドバイザリは情報提供のみを目的として提供されており、予告なく変更される場合があります。本情報は、いかなる種類の保証もなく「現状有姿」で提供されます。TP-Linkは、お客様に対し、本アドバイザリで提供されている利用可能なファームウェアアップデートの適用、または記載された回避策の実施を推奨します。記載されたアップデートまたは緩和策が実施されていないデバイス/システムは、脆弱な状態のままとなる可能性があります。TP-Linkは、これらのアップデートを実施しなかったことに起因して発生する損害または損失について、一切の責任を負いません。
Looking For More
このFAQは役に立ちましたか?
サイトの利便性向上にご協力ください。
TP-Link Community
Still need help? Search for answers, ask questions, and get help from TP-Link experts and other users around the world.