ニュース
TP-LinkのOmadaゲートウェイ13製品に複数の脆弱性。最新ファームウェアに更新を
2025年10月28日 16:35
TP-LinkのOmadaゲートウェイ(法人向けVPNルーター)13製品に複数の脆弱性があるとして、脆弱性情報ポータルサイト「JVN」(Japan Vulnerability Notes)が、情報を公開した。最新のファームウェアに更新することで対策できる。TP-Linkも、本件に関する情報を公開している。
脆弱性があるのは、以下の製品およびファームウェアのバージョン。
- ER8411 ファームウェア 1.3.3 Build 20251013 Rel.44647より前
- ER7412-M2 ファームウェア 1.1.0 Build 20251015 Rel.63594より前
- ER707-M2 ファームウェア 1.3.1 Build 20251009 Rel.67687より前
- ER7206 ファームウェア 2.2.2 Build 20250724 Rel.11109より前
- ER605 ファームウェア 2.3.1 Build 20251015 Rel.78291より前
- ER706W ファームウェア 1.2.1 Build 20250821 Rel.80909より前
- ER706W-4G ファームウェア 1.2.1 Build 20250821 Rel.82492より前
- ER7212PC ファームウェア 2.1.3 Build 20251016 Rel.82571より前
- G36 ファームウェア 1.1.4 Build 20251015 Rel.84206より前
- G611 ファームウェア 1.2.2 Build 20251017 Rel.45512より前
- FR365 ファームウェア 1.1.10 Build 20250626 Rel.81746より前
- FR205 ファームウェア 1.0.3 Build 20251016 Rel.61376より前
- FR307-M2 ファームウェア 1.2.5 Build 20251015 Rel.76743より前
情報が公開された脆弱性は、以下の2つ。
Web管理インターフェイスから入手した情報を利用したOSコマンドインジェクション(CVE-2025-6541)
Web管理インターフェイスにログイン可能な攻撃者によって、当該製品上で任意のOSコマンドを実行される可能性がある。CVSS v.4.0のスコアは8.6、CVSS v3.1のスコアは7.2。
複数のパラメータにおけるOSコマンドインジェクション(CVE-2025-6542)
攻撃者によって当該製品上で任意のOSコマンドを実行される可能性がある。CVSS v.4.0のスコアは9.3、CVSS v3.1のスコアは9.8。