セキュリティアドバイザリ:複数のTP-LinkルーターにおけるDHCPオプション処理を介した未認証コマンドインジェクションの脆弱性(CVE-2026-11834)
脆弱性と影響の説明:
CVE-2026-11834
複数のTP-Linkルーターモデルにおいて、DHCPオプション処理ロジックにコマンドインジェクションの脆弱性が確認されました。この脆弱性は、外部から提供されるDHCPオプションデータの検証が不十分であることに起因します。隣接ネットワーク上の攻撃者は、細工されたDHCP応答を送信することでこの脆弱性を悪用できる可能性があり、デバイスの初期化またはプロビジョニング処理中に不正なコマンド実行につながるおそれがあります。これは通常、デバイスが工場出荷時の初期状態、または未設定の状態にある場合に発生します。
悪用に成功した場合、隣接ネットワーク上の未認証の攻撃者が昇格された権限で任意のコマンドを実行できる可能性があり、影響を受けるデバイスの完全な侵害や、不正な管理者制御につながるおそれがあります。
CVSS v4.0スコア: 8.7 / 高
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
影響を受ける製品/バージョンおよび修正:
|
製品モデル |
ハードウェアバージョン |
修正済みファームウェアバージョン |
|
Archer C20 |
V5 |
V5_260317 |
|
Archer C20 |
V6 |
V6_260608 |
※日本語の記事では、日本国内で販売された機種のみ記載しております。
推奨事項:
影響を受けるデバイスをご利用のお客様には、以下の対応を強く推奨します。
- 影響を受けるデバイスを、本脆弱性が修正された最新のファームウェアバージョンにアップデートしてください。
Archer C20 V5のダウンロード | TP-Link
Archer C20 V6のダウンロード | TP-Link
免責事項:
本アドバイザリは情報提供のみを目的としており、予告なく変更される場合があります。本情報は、いかなる種類の保証も伴わず「現状有姿」で提供されます。TP-Linkは、お客様に対し、利用可能なファームウェアアップデートを速やかに適用すること、または本アドバイザリに記載された回避策を実施することを推奨します。本アドバイザリに記載されたとおりにアップデートまたは対策が実施されていないデバイス/システムは、脆弱な状態のままとなる可能性があります。TP-Linkは、これらのアップデートを実施しなかったことに起因して発生した損害または損失について、一切の責任を負いません。
Looking For More
このFAQは役に立ちましたか?
サイトの利便性向上にご協力ください。
TP-Link Community
Still need help? Search for answers, ask questions, and get help from TP-Link experts and other users around the world.