セキュリティアドバイザリ:TL-SG108PEにおける設定ファイルのインポートを介した保存型クロスサイトスクリプティング(XSS)の脆弱性(CVE-2026-34127)
脆弱性および影響の説明:
CVE-2026-34127
TL-SG108PE v5.xスイッチのWeb管理画面において、設定ファイルのインポート時にSYSNAM設定パラメーターのサニタイズが不適切であることに起因する、保存型クロスサイトスクリプティング(XSS)の脆弱性が確認されました。管理者権限を持つ攻撃者は、デバイス設定に悪意のあるスクリプトを挿入することができます。このスクリプトは保存され、影響を受ける画面を表示した際に管理者のブラウザー上で実行される可能性があります。
この脆弱性の悪用に成功した場合、セッションCookieの窃取、不正な設定変更、または管理画面を通じて表示される機密情報へのアクセスが可能になるおそれがあります。
CVSS v4.0スコア:5.3 / Medium
CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:P/VC:H/VI:L/VA:H/SC:L/SI:N/SA:L
対象製品/バージョンおよび修正:
|
製品モデル |
ハードウェアバージョン |
修正済みファームウェアバージョン |
|
TL-SG108PE |
V5 |
1.0.1 Build 260330 |
推奨事項:
影響を受けるデバイスをご利用のお客様には、以下の対応を強く推奨します。
- 影響を受けるデバイスを、この脆弱性が修正された最新のファームウェアバージョンへアップデートしてください。
TL-SG108PE V5.0TL-SG108PEのダウンロード | TP-Link
TL-SG108PE V5.4TL-SG108PEのダウンロード | TP-Link
免責事項:
本アドバイザリは情報提供のみを目的としており、予告なく変更される場合があります。本情報は、いかなる種類の保証もなく「現状有姿」で提供されます。TP-Linkは、お客様に対し、本アドバイザリに記載された利用可能なファームウェアアップデートの適用、または記載された回避策の実施を推奨します。記載された対応を行っていないデバイス/システムは、引き続き脆弱な状態となる可能性があります。
Looking For More
このFAQは役に立ちましたか?
サイトの利便性向上にご協力ください。
TP-Link Community
Still need help? Search for answers, ask questions, and get help from TP-Link experts and other users around the world.