TP-LinkのArcher MR600 v5ルーターで重大なコマンドインジェクション脆弱性が発見され、認証済みの攻撃者がデバイスの管理インターフェースを通じて任意のシステムコマンドを実行できるようになります。
CVE-2025-14756として追跡されているこの欠陥は、広く導入されているこのネットワーク機器に依存する企業および家庭のユーザーにとって重大なセキュリティリスクとなります。
脆弱性の詳細
セキュリティ研究者は、Archer MR600 v5ファームウェアの管理インターフェースコンポーネント内にコマンドインジェクション脆弱性を特定しました。
この脆弱性により、管理者資格情報を持つ攻撃者は、ブラウザの開発者コンソールを介して悪意のあるシステムコマンドを注入し、標準のインターフェース保護を回避できます。
この脆弱性は認証が必要で、文字数制限の下で動作するものの、悪用に成功するとデバイスの完全な侵害およびネットワーク制御につながる可能性があります。
この脆弱性のCVSS v4.0スコアは8.5(高深刻度)で、影響を受けるインフラに対してもたらす重大なリスクを反映しています。
攻撃ベクターは隣接(AV:A)でローカルネットワークへのアクセスが必要である一方、攻撃の複雑さは低(AC:L)のままであり、認証済みの脅威アクターにとって悪用は容易です。
影響を受ける製品とタイムライン
ファームウェア1.1.0(Build 250930 Rel.63611n)より前のバージョンを実行しているTP-LinkのArcher MR600ルーターが脆弱です。
影響を受けるファームウェアバージョンにはv0.9.1およびv0001.0が含まれます。TP-Linkは2026年1月26日にセキュリティアドバイザリを公開し、ユーザーに重要なパッチ情報を提供しました。
| 影響を受けるモデル | CVE ID | 脆弱なバージョン | CVSSスコア | 深刻度 |
|---|---|---|---|---|
| Archer MR600 v5 | CVE-2025-14756 | <1.1.0(v0.9.1、v0001.0 Build 250930 Rel.63611n) | 8.5 | 高 |
TP-Linkは、この脆弱性に対処するパッチ適用済みファームウェアを公開しました。ユーザーはTP-Linkの公式サポートポータルから、ファームウェアバージョン1.1.0以降を直ちにダウンロードして適用してください。
パッチは英語および日本語地域向けに提供されています。なお、この製品は米国市場では販売されていません。
推奨される対応:
- Archer MR600デバイスの現在のファームウェアバージョンを確認する
- TP-Linkサポートポータルから最新のファームウェアをダウンロードする
- セキュリティ更新を直ちに適用する
- パッチ適用後に管理者資格情報を変更する
- 不審な管理インターフェースアクセスがないかネットワーク活動を監視する
この脆弱性は、ネットワークインフラのファームウェアを最新の状態に維持することの重要性を浮き彫りにしています。
未パッチのデバイスは完全な侵害に対して脆弱なままであり、ネットワーク全体が横展開やデータ流出にさらされる可能性があります。
翻訳元: https://gbhackers.com/tp-link-archer-router-flaw/
