複数のTP-Link製品に複数の脆弱性 | ScanNetSecurity
2026.06.22(月)

複数のTP-Link製品に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月21日、複数のTP-Link製品における複数の脆弱性について「Japan Vulnerability Notes(JVN)」発表した。

脆弱性と脅威 セキュリティホール・脆弱性
922 views
facebookLINE

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月21日、複数のTP-Link製品における複数の脆弱性について「Japan Vulnerability Notes(JVN)」発表した。株式会社ゼロゼロワンの早川宙也氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2023-31188、CVE-2023-32619
Archer C50「Archer C50(JP)_V3_230505」より前のファームウェア
Archer C55 「Archer C55(JP)_V1_230506」より前のファームウェア

・CVE-2023-36489
TL-WR802N「TL-WR802N(JP)_V4_221008」より前のファームウェア
TL-WR841N「TL-WR841N(JP)_V14_230506」より前のファームウェア
TL-WR902AC「TL-WR902AC(JP)_V3_230506」より前のファームウェア

・CVE-2023-31188、CVE-2023-37284
Archer C20「Archer C20(JP)_V1_230616」より前のファームウェア

・CVE-2023-38563
Archer C1200「Archer C1200(JP)_V2_230508」より前のファームウェア
Archer C9「Archer C9(JP)_V3_230508」より前のファームウェア

・CVE-2023-38568
Archer A10「Archer A10(JP)_V2_230504」より前のファームウェア

・CVE-2023-38588
Archer C3150「Archer C3150(JP)_V2_230511」より前のファームウェア

・CVE-2023-39224
Archer C5 すべてのバージョン
Archer C7 「Archer C7(JP)_V2_230602」より前のファームウェア

・CVE-2023-39935
Archer C5400「Archer C5400(JP)_V2_230506」より前のファームウェア

・CVE-2022-24355
TL-WR940N「TL-WR940N(JP)_V6_201103」より前のファームウェア

・CVE-2023-40193
Deco M4「Deco M4(JP)_V2_1.5.8 Build 20230619」より前のファームウェア

・CVE-2023-40357
Archer AX50「Archer AX50(JP)_V1_230529」より前のファームウェア
Archer A10「Archer A10(JP)_V2_230504」より前のファームウェア
Archer AX10「Archer AX10(JP)_V1.2_230508」より前のファームウェア
Archer AX11000「Archer AX11000(JP)_V1_230523」より前のファームウェア

・CVE-2023-40531
Archer AX6000 「Archer AX6000(JP)_V1_1.3.0 Build 20221208」より前のファームウェア

 TP-Linkが提供する複数の製品には、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・OSコマンドインジェクション(CVE-2023-31188)
→ユーザによって、任意のOSコマンドを実行される

・ハードコードされた認証情報の使用(CVE-2023-32619)
→第三者によってハードコードされたアカウント情報を利用して機器に侵入され任意のOSコマンドを実行される

・OSコマンドインジェクション(CVE-2023-36489)
→第三者によって任意のOSコマンドを実行される

・不適切な認証(CVE-2023-37284)
→第三者によって細工したリクエスト送信により認証を回避され、任意のOSコマンドを実行される

・OSコマンドインジェクション(CVE-2023-38563)
→第三者によって任意のOSコマンドを実行される

・OSコマンドインジェクション(CVE-2023-38568)
→第三者によって任意のOSコマンドを実行される

・OSコマンドインジェクション(CVE-2023-38588)
→ユーザによって任意のOSコマンドを実行される

・OSコマンドインジェクション(CVE-2023-39224)
→ユーザによって任意のOSコマンドを実行される

・OSコマンドインジェクション(CVE-2023-39935)
→ユーザによって任意のOSコマンドを実行される

・スタックベースのバッファオーバーフロー(CVE-2022-24355)
→第三者によって細工したリクエスト送信により任意のコードを実行される

・OSコマンドインジェクション(CVE-2023-40193)
→ユーザによって任意のOSコマンドを実行される

・OSコマンドインジェクション(CVE-2023-40357)
→ユーザによって任意のOSコマンドを実行される

・OSコマンドインジェクション(CVE-2023-40531)
→ユーザによって任意のOSコマンドを実行される

 JVNでは、開発者が提供する情報をもとにファームウェアを最新版にアップデートするよう呼びかけている。なお、Archer C5のサポートは既に終了しているため、アップデート提供の予定はない。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 廃棄処理業者に破砕処分を委託したハードディスクが外部に流出

    廃棄処理業者に破砕処分を委託したハードディスクが外部に流出

  2. 日本製鉄ホームページで不審な認証画面

    日本製鉄ホームページで不審な認証画面

  3. 大分大学「バーチャルキャンパスツアー」を装った不正なウェブページ表示、ソフトウェアの脆弱性を悪用

    大分大学「バーチャルキャンパスツアー」を装った不正なウェブページ表示、ソフトウェアの脆弱性を悪用

  4. 和歌山大学「バーチャルツアー」が踏み台に、外部サイトに転送

    和歌山大学「バーチャルツアー」が踏み台に、外部サイトに転送

  5. SOC サービスの実態に迫る:株式会社SHIFT SECURITY と株式会社クラフ、新たな監視サービスへの挑戦

    SOC サービスの実態に迫る:株式会社SHIFT SECURITY と株式会社クラフ、新たな監視サービスへの挑戦PR

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP