セキュリティアドバイザリ：TP-Link TL-WR940Nにおける複数のOSコマンドインジェクション脆弱性（CVE-2026-11409およびCVE-2026-11410）

脆弱性および影響の説明：

TL-WR940N v6において、認証済みの複数のOSコマンドインジェクション脆弱性が確認されました。これらの脆弱性は、ユーザーが入力したパラメーターの検証が不十分であることにより、特定のWAN設定モジュールに影響します。

悪用にはWeb管理画面への認証済みアクセスが必要であり、悪用に成功した場合、昇格された権限で任意のシステムコマンドを実行される、機密情報へアクセスされる、システム設定を変更される、またはデバイスの可用性を妨害される可能性があります。これらの影響により、デバイスの機密性、完全性、および可用性が損なわれる可能性があります。

CVE-2026-11409：IPv6 PPPoE設定におけるOSコマンドインジェクション

IPv6 PPPoE設定ハンドラーには、ユーザーが入力した値のサニタイズが不適切であることに起因する、認証済みのOSコマンドインジェクション脆弱性が存在します。この入力値がシステムコマンドの実行に組み込まれる可能性があります。

CVE-2026-11410：BigPond Cable（BPA）設定におけるOSコマンドインジェクション

BigPond Cable（BPA）WAN設定モジュールには、特定のパラメーターがシステムコマンドの構築に使用される前に適切にサニタイズされないことに起因する、認証済みのOSコマンドインジェクション脆弱性が存在します。

上記のCVEは同じ深刻度評価です。

CVSS v4.0スコア：8.5 / High

CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

影響を受ける製品/バージョンおよび修正：

重要なお知らせ：

本デバイスはサポート終了（EOL）となっているため、「推奨事項」セクションをよくご確認ください。

推奨事項：

影響を受けるデバイスをご利用のお客様には、以下の対応を強く推奨します。

1. 以下の手順に従い、脆弱性を修正するために最新のファームウェアバージョンへアップデートしてください。

Download for TL-WR940N | TP-Link

2. 継続的な保護のために自動アップデートを受けられるよう、サポート対象のモデルへの買い替えをご検討ください。
3. 管理アクセスを制限してください。Web管理画面へのアクセスは、信頼できるネットワークのみに制限してください。

免責事項：

本アドバイザリは情報提供のみを目的としており、予告なく変更される場合があります。本情報は、いかなる種類の保証もなく「現状有姿」で提供されます。TP-Linkは、お客様に対し、本アドバイザリに記載されている利用可能なファームウェアアップデートを速やかに適用するか、記載された回避策を実施することを推奨します。記載されたアップデートまたは緩和策が実施されていないデバイス/システムは脆弱な状態のままとなる可能性があり、TP-Linkは、当該アップデートの実施を怠ったことに起因するいかなる損害または損失についても、一切の責任を負いません。