サイバーニュース.jp

世界のサイバーなニュースを配信

TP-Link、Omadaゲートウェイの重大なコマンドインジェクション脆弱性を警告

カテゴリ:

, , , , , , , , ,

概要

TP-Linkは、同社のOmadaゲートウェイデバイスに存在する2つのコマンドインジェクション脆弱性について警告を発しました。これらの脆弱性が悪用されると、任意のOSコマンドが実行される可能性があります。

特に、CVE-2025-6542(CVSSスコア9.3)は、認証されていないリモートの攻撃者によって悪用される可能性がある重大な脆弱性です。もう一つの脆弱性であるCVE-2025-6541(CVSSスコア8.6)は、攻撃者がウェブ管理インターフェースにログインできる場合にのみ悪用可能です。

TP-Linkの勧告によると、「ウェブ管理インターフェースにログインできるユーザー、またはリモートの認証されていない攻撃者によって、Omadaゲートウェイ上で任意のOSコマンドが実行される可能性があります。」と述べられています。これらの脆弱性は、デバイスの完全な侵害、データ窃盗、ラテラルムーブメント、および永続化につながる可能性があるため、そのリスクは非常に大きいとされています。

影響を受ける製品と修正

CVE-2025-6541およびCVE-2025-6542は、以下の13のOmadaゲートウェイモデルに影響を与えます。TP-Linkは、影響を受けるデバイスのユーザーに対し、修正プログラムを含むファームウェアアップデートを適用し、アップグレード後にすべての設定が意図したとおりであることを確認することを強く推奨しています。

  • ER8411: < 1.3.3 Build 20251013 Rel.44647 (修正済みバージョン: >= 1.3.3 Build 20251013 Rel.44647)
  • ER7412-M2: < 1.1.0 Build 20251015 Rel.63594 (修正済みバージョン: >= 1.1.0 Build 20251015 Rel.63594)
  • ER707-M2: < 1.3.1 Build 20251009 Rel.67687 (修正済みバージョン: >= 1.3.1 Build 20251009 Rel.67687)
  • ER7206: < 2.2.2 Build 20250724 Rel.11109 (修正済みバージョン: >= 2.2.2 Build 20250724 Rel.11109)
  • ER605: < 2.3.1 Build 20251015 Rel.78291 (修正済みバージョン: >= 2.3.1 Build 20251015 Rel.78291)
  • ER706W: < 1.2.1 Build 20250821 Rel.80909 (修正済みバージョン: >= 1.2.1 Build 20250821 Rel.80909)
  • ER706W-4G: < 1.2.1 Build 20250821 Rel.82492 (修正済みバージョン: >= 1.2.1 Build 20250821 Rel.82492)
  • ER7212PC: < 2.1.3 Build 20251016 Rel.82571 (修正済みバージョン: >= 2.1.3 Build 20251016 Rel.82571)
  • G36: < 1.1.4 Build 20251015 Rel.84206 (修正済みバージョン: >= 1.1.4 Build 20251015 Rel.84206)
  • G611: < 1.2.2 Build 20251017 Rel.45512 (修正済みバージョン: >= 1.2.2 Build 20251017 Rel.45512)
  • FR365: < 1.1.10 Build 20250626 Rel.81746 (修正済みバージョン: >= 1.1.10 Build 20250626 Rel.81746)
  • FR205: < 1.0.3 Build 20251016 Rel.61376 (修正済みバージョン: >= 1.0.3 Build 20251016 Rel.61376)
  • FR307-M2: < 1.2.5 Build 20251015 Rel.76743 (修正済みバージョン: >= 1.2.5 Build 20251015 Rel.76743)

その他の深刻な脆弱性

TP-Linkは別のセキュリティ情報で、特定の条件下で認証されたコマンドインジェクションとルートアクセスを可能にする2つの深刻な脆弱性についても警告しています。これらは以下の通りです。

  • CVE-2025-8750(CVSS: 9.3):Omadaウェブポータルへの管理者パスワードを持つ攻撃者によって悪用される可能性があるコマンドインジェクションの脆弱性。
  • CVE-2025-7851(CVSS: 8.7):Omadaの権限に制限されるものの、攻撃者が基盤となるOSでルート権限を持つシェルアクセスを取得できる可能性がある脆弱性。

これらのCVE-2025-8750およびCVE-2025-7851も、上記の表に記載されているすべてのOmadaゲートウェイモデルに影響を与えます。特筆すべきは、最新のファームウェアリリースがこれら4つの脆弱性すべてに対処している点です。

元記事: https://www.bleepingcomputer.com/news/security/tp-link-warns-of-critical-command-injection-flaw-in-omada-gateways/

投稿をさらに読み込む