TP-Link KP303で未認証コマンドの脆弱性(CVE-2025-8627)

セキュリティニュース

投稿日時: 更新日時:

TP-Link KP303で未認証コマンドの脆弱性(CVE-2025-8627)

2025年8月25日(米国時間)、TP-Linkはスマートプラグ「KP303」における高深刻度の脆弱性(CVE-2025-8627)を公表し、修正版ファームウェアを提供しています。本脆弱性は認証なしでデバイスにプロトコルコマンドを送信できる問題で、意図しない電源オフの発生や情報漏えいの可能性があります。

影響を受けるバージョン

対象は TP-Link KP303 V2.0(US) のうち、ファームウェアが 1.1.0 未満(例:1.0.x) の端末です。

修正バージョン

ファームウェア 1.1.0 以上(1.1.0 以降の最新) で本脆弱性は修正されています。該当機器をご利用の場合は、最新ファームウェアへ更新し、更新後にバージョンが 1.1.0 以上であることを必ずご確認ください。

脆弱性の概要

この脆弱性はCVSS v4.0スコア8.7(高)と評価されています。この脆弱性を悪用すると、悪意のある攻撃者がリモートからデバイスの電源をオフにしたり、デバイスを介して送信される情報を収集したりすることで、スマートホームやオフィス環境を混乱させる可能性があります。