TP-Link Archer Router Flaw Exposes Users to Remote Attacks and Full Device Control
2026/01/28 gbhackers — TP-Link 製 Archer MR600 v5 ルーターにおいて、深刻度 High のコマンド・インジェクション脆弱性が発見された。この脆弱性を悪用する認証済みの攻撃者は、管理インターフェイスを通じて任意のシステム・コマンドを実行できる。この脆弱性は CVE-2025-14756 として追跡されており、広く展開されている TP-Link ネットワーク機器を利用する企業/家庭のユーザーに、深刻なセキュリティ・リスクをもたらしている。
脆弱性の詳細
Archer MR600 v5 ファームウェアの管理インターフェイス・コンポーネント内に、コマンド・インジェクションの脆弱性が存在することを、セキュリティ研究者たちが特定した。
この脆弱性を悪用する管理者認証情報を持つ攻撃者は、ブラウザ上の開発者コンソールを介して標準的なインターフェイス保護を回避し、悪意のシステム・コマンドを注入できる。
この脆弱性の悪用に際しては認証が必要であり、文字数が制限される環境での操作が必要になるが、悪用に成功した場合には、デバイスの完全な侵害およびネットワーク全体の制御につながる。
この脆弱性の CVSS v4.0 スコアは 8.5 (High) であり、インフラに対する重大なリスクが示されている。
攻撃ベクターは隣接ネットワーク (AV:A) であるため、ローカル・ネットワークへのアクセスが必要となる。その一方で、攻撃の複雑性は低 (AC:L) と評価されており、認証済み攻撃者にとって悪用は容易である。
影響を受ける製品およびタイムライン
TP-Link Archer MR600 ルーターにおける、ファームウェア・バージョン 1.1.0 (Build 250930 Rel.63611n) 未満である、v0.9.1 および v0001.0 が影響を受ける。すでに TP-Link は、2026年1月26日の時点でセキュリティ・アドバイザリを公開し、重要なパッチ情報を提供している。
| Affected Model | CVE ID | Vulnerable Versions | CVSS Score | Severity |
|---|---|---|---|---|
| Archer MR600 v5 | CVE-2025-14756 | <1.1.0 (v0.9.1, v0001.0 Build 250930 Rel.63611n) | 8.5 | High |
このアドバイザリにおいて TP-Link は、脆弱性 CVE-2025-14756 に対応する修正済みファームウェアを公開している。ユーザーにとって必要なことは、TP-Link の公式サポート・ポータルからファームウェア version 1.1.0 以降をダウンロードし、速やかに適用することである。
なお、このパッチは英語/日本語リージョン向けに提供されている。ただし、この製品は米国市場では販売されていない。
推奨される対応:
- Archer MR600 デバイス上のファームウェア・バージョンを確認する
- TP-Link サポート・ポータルから最新ファームウェアをダウンロードする
- セキュリティ・アップデートを直ちに適用する
- パッチ適用後に管理者認証情報を変更する
- 管理インターフェイスへの不審なアクセスをネットワーク・アクティビティで監視する
この脆弱性が改めて浮き彫りにするのは、ネットワークインフラにおいて最新ファームウェアを維持することの重要性である。
対象となるデバイスをパッチ未適用の状態で放置すると、完全な侵害というリスクを引きずり、ネットワーク全体に対するラテラル・ムーブメントやデータ流出につながる可能性がある。
TP-Link 製の Archer MR600 v5において、管理権限を持つ攻撃者が任意のシステム・コマンドを実行できてしまうという、きわめて深刻な脆弱性が確認されました。この脆弱性は、ルーターの管理インターフェースにおける入力値の不十分な検証に起因しています。TP-Link は、日本/英語圏のユーザー向けの修正プログラムを、2026年1月26日付で公開しています。ご利用のチームは、ご注意ください。よろしければ、TP-Link での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.