Multiple Vulnerabilities in TP-Link Devices Enable Arbitrary Command Execution
2026/03/24 gbhackers — TP-Link が公開したのは、Archer Series Router NX200/NX210/NX500/NX600に存在する、深刻度 High の 4 件の脆弱性に対処する、重要なセキュリティ・アドバイザリである。一連の脆弱性の悪用に成功した攻撃者は、認証バイパス/OS コマンドの不正実行/機密コンフィグ・ファイルの改竄を可能にする。
脆弱性の詳細
このアドバイザリは、認可バイパス/コマンドインジェクション/暗号処理の欠陥などの複合的な問題に対処するものである。具体的に言うと、これらの脆弱性は、機密性/完全性/可用性に重大な影響を及ぼす。
- CVE-2025-15517 (CVSS 8.6):HTTP サーバ・エンドポイントにおける認可バイパスの脆弱性。攻撃者に対して、認証を必要としない、ファームウェア・アップロードや設定変更などの特権操作を許す。
- CVE-2026-15518 (CVSS 8.5):ワイヤレス制御 CLI におけるコマンド・インジェクションの脆弱性。認証済み管理者に対して、任意の OS コマンドの実行を許す。
- CVE-2026-15519 (CVSS 8.5):モデム管理 CLI におけるコマンド・インジェクションの脆弱性。攻撃者に対して、OS レベルでの悪意の入力を許す。
- CVE-2025-15605 (CVSS 8.5):コンフィグ機構にハードコードされた、暗号鍵を露出してしまう脆弱性。認証済み攻撃者に対して、設定データの復号/改竄/再暗号化を許す。
影響製品
ユーザーにとって必要なことは、デバイス・ファームウェアを更新し、ネットワークを保護することだ。以下のハードウェア・バージョンを確認し、対応するパッチを適用する必要がある。
Archer NX600:
v1.0 → 1.4.0 Build 260311
v2.0 → 1.3.0 Build 260311
v3.0 → 1.3.0 Build 260309
Archer NX500:
v1.0 → 1.3.0 Build 260311
v2.0 → 1.5.0 Build 260309
Archer NX210:
v2.0 / v2.20 → 1.3.0 Build 260311
v3.0 → 1.3.0 Build 260309
Archer NX200:
v1.0 → 1.8.0 Build 260311
v2.0 / v2.20 → 1.3.0 Build 260311
v3.0 → 1.3.0 Build 260309
TP-Link によると、このアドバイザリが対象とするモデルは、米国では販売されていない。
緩和策
ネットワーク管理者およびデバイス所有者は、現在のファームウェア・バージョンを確認し、該当ハードウェア・リストと照合する必要がある。TP-Link が強く指摘するのは、公式サポートポータルから最新ファームウェアを取得し、直ちに適用することだ。
パッチ未適用の状態で放置されるデバイスは、設定の改竄に加えて、デバイス制御の完全な奪取のリスクに晒される。
TP-Link の Archer シリーズ・ルーター NX200/ NX210/ NX500/ NX600 に存在する、 深刻な 4 件の脆弱性が FIX しました。それらの脆弱性により、 認証の回避/OS コマンドの不正実行/設定ファイルの改竄などが引き起こされ、デバイスの制御権が完全に奪取される恐れがあります。
その結果として、 デバイスの機密性/完全性/可用性に重大な影響が生じます。 対象となる製品を利用しているユーザーに強く推奨されるのは、 TP-Link の公式サポート・ポータルから、最新の修正済みファームウェア取得/適用することです。よろしければ、TP-Link での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.