概要

TP-Link は最近、Archer シリーズルーターにおける4つの高深刻度の脆弱性について重大なセキュリティアドバイザリーを発表しました。これらの脆弱性により、脅威アクターが認証をバイパスし、非承認のオペレーティングシステムコマンドを実行したり、デバイス設定ファイルを操作することが可能となります。

脆弱性の詳細

アドバイザリーでは、認証バイパス、コマンドインジェクション、暗号化関連の失敗が組み合わさった脆弱性について説明されています。これらの脆弱性はデバイスの機密性、整合性、可用性に重大なリスクをもたらします。

• CVE-2025-15517 (CVSS 8.6): HTTP サーバエンドポイントにおける認証バイパス。未認証の攻撃者がファームウェアアップロードや設定変更などの特権操作を実行できる。
• CVE-2026-15518 (CVSS 8.5): ワイヤレス制御CLIにおけるコマンドインジェクション。認証された管理者ユーザーが任意のOS コマンドを注入し実行できる。
• CVE-2026-15519 (CVSS 8.5): モデム管理CLIにおけるコマンドインジェクション。ワイヤレスCLIの脆弱性と同様に、悪意のある入力をOSレベルで実行できる。
• CVE-2025-15605 (CVSS 8.5): 設定メカニズムにおけるハードコードされた暗号化キーの露出。認証された攻撃者がデバイス設定データを復号、変更し再暗号化できる。

影響を受けた製品

ユーザーはこれらの脆弱性に対処するために、デバイスのファームウェアを最新版にアップデートする必要があります。TP-Link は、このアドバイザリーでリストされているルーターモデルがアメリカ合衆国では販売されていないことを明記しています。

• Archer NX600: ハードウェアv1.0を1.4.0 Build 260311、v2.0を1.3.0 Build 260311、v3.0を1.3.0 Build 260309に更新。
• Archer NX500: ハードウェアv1.0を1.3.0 Build 260311、v2.0を1.5.0 Build 260309に更新。
• Archer NX210: ハードウェアv2.0とv2.20を1.3.0 Build 260311、v3.0を1.3.0 Build 260309に更新。
• Archer NX200: ハードウェアv1.0を1.8.0 Build 260311、v2.0とv2.20を1.3.0 Build 260311、v3.0を1.3.0 Build 260309に更新。

緩和策

ネットワーク管理者やデバイス所有者は、すぐに現在のファームウェアバージョンが提供されたハードウェアリストと一致しているか確認する必要があります。TP-Link は公式サポートポータルから最新のファームウェアアップデートをダウンロードし適用することを強く推奨しています。

デバイスをパッチ無しのままにしておくことは、ネットワークへの潜在的なハッキングや非承認な設定変更、完全なデバイスタイコバーオーバーにさらされるリスクがあります。

元記事: https://gbhackers.com/multiple-vulnerabilities-in-tp-link-devices/