1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. TP-Link、VIGI監視カメラの認証回避が可能になる脆弱性-CVE-2026-0629

TP-Link、VIGI監視カメラの認証回避が可能になる脆弱性-CVE-2026-0629

セキュリティニュース

投稿日時: 更新日時:

TP-Link、VIGI監視カメラの認証回避が可能になる脆弱性-CVE-2026-0629

TP-Linkは、業務向け監視カメラ「VIGI」シリーズのローカルWebインターフェースに存在する認証回避の脆弱性(CVE-2026-0629)について、修正済みファームウェアを案内しました。パスワード復旧機能の実装により、LAN上の攻撃者がクライアント側の状態を操作することで、検証なしに管理者パスワードをリセットでき、結果として完全な管理者権限を得られる可能性があるとしています。CVSS v4.0は8.7(High)です。

何が起きる?

TP-Linkのアドバイザリによると、問題は「パスワード復旧(Password Recovery)」の処理で、本来必要な検証が行われず、管理者パスワードの再設定が成立してしまう点にあります。成功すると、攻撃者はカメラの設定変更や運用妨害だけでなく、映像フィードなど機能全体にアクセスできる恐れがあるとされます。

関連:Insecamとは 世界のWEBカメラ/監視カメラを閲覧できるサイト

影響を受ける製品と修正済みバージョン(TP-Link公表)

TP-Linkは、複数のVIGI Cシリーズ/VIGI InSightシリーズに対して、修正版ファームウェア(「≥(以上)」で示されるビルド)を提示しています。

  • VIGI Cx45(C345, C445):≥ 3.1.0 Build 250820 Rel.57668n

  • VIGI Cx55(C355, C455):≥ 3.1.0 Build 250820 Rel.58873n

  • VIGI Cx85(C385, C485):≥ 3.0.2 Build 250630 Rel.71279n

  • VIGI C340S(C340S):≥ 3.1.0 Build 250625 Rel.65381n

  • VIGI C540S(C540S, EasyCam C540S):≥ 3.1.0 Build 250625 Rel.66601n

  • VIGI C540V(C540V):≥ 2.1.0 Build 250702 Rel.54300n

  • VIGI C250(C250):≥ 2.1.0 Build 250702 Rel.54301n

  • VIGI Cx50(C350, C450):≥ 2.1.0 Build 250702 Rel.54294n

  • VIGI Cx20I(1.0:C220I/C320I/C420I):≥ 2.1.0 Build 251014 Rel.58331n

  • VIGI Cx20I(1.20:C220I/C320I/C420I):≥ 2.1.0 Build 250701 Rel.44071n

  • VIGI Cx30I(1.0:C230I/C330I/C430I):≥ 2.1.0 Build 250701 Rel.45506n

  • VIGI Cx30I(1.20:C230I/C330I/C430I):≥ 2.1.0 Build 250701 Rel.44555n

  • VIGI Cx30(1.0:C230/C330/C430):≥ 2.1.0 Build 250701 Rel.46796n

  • VIGI Cx30(1.20:C230/C330/C430):≥ 2.1.0 Build 250701 Rel.46796n

  • VIGI Cx40I(1.0:C240I/C340I/C440I):≥ 2.1.0 Build 250701 Rel.46003n

  • VIGI Cx40I(1.20:C240I/C340I/C440I):≥ 2.1.0 Build 250701 Rel.45041n

  • VIGI C230I Mini(C230I Mini):≥ 2.1.0 Build 250701 Rel.47570n

  • VIGI C240 1.0(C240 1.0):≥ 2.1.0 Build 250701 Rel.48425n

  • VIGI C340 2.0(C340 2.0):≥ 2.1.0 Build 250701 Rel.49304n

  • VIGI C440 2.0(C440 2.0):≥ 2.1.0 Build 250701 Rel.49778n

  • VIGI C540 2.0(C540 2.0):≥ 2.1.0 Build 250701 Rel.50397n

  • VIGI C540-4G(C540-4G):≥ 2.2.0 Build 250826 Rel.56808n

  • VIGI Cx40-W(C340-W 2.0/2.20, C440-W 2.0, C540-W 2.0):≥ 2.1.1 Build 250717

  • VIGI Cx20(C320, C420):≥ 2.1.0 Build 250701 Rel.39597n

  • VIGI InSight Sx45(S245, S345, S445):≥ 3.1.0 Build 250820 Rel.57668n

  • VIGI InSight Sx55(S355, S455):≥ 3.1.0 Build 250820 Rel.58873n

  • VIGI InSight Sx85(S285, S385):≥ 3.0.2 Build 250630 Rel.71279n

  • VIGI InSight Sx45ZI(S245ZI, S345ZI, S445ZI):≥ 1.2.0 Build 250820 Rel.60930n

  • VIGI InSight Sx85PI(S385PI, S485PI):≥ 1.2.0 Build 250827 Rel.66817n

  • VIGI InSight S655I(S655I):≥ 1.1.1 Build 250625 Rel.64224n

  • VIGI InSight S345-4G(S345-4G):≥ 2.1.0 Build 250725 Rel.36867n

  • VIGI InSight Sx25(S225, S325, S425):≥ 1.1.0 Build 250630 Rel.39597n

いま取るべき対応

TP-Linkは、影響を受ける機器について「最新ファームウェアへ更新する」ことを強く推奨しています。
加えて実務面では、次の点を優先して確認すると安全側に倒せます。

  • 管理用Web画面をインターネットに公開しない(不要なポート開放や転送を停止し、必要ならVPN経由に限定します)

  • ファーム更新後も管理者パスワードを再設定し、使い回しを避けます

  • **監視カメラ用ネットワークの分離(セグメント分割)**や、管理アクセス元の制限を行います

関連記事

TP-Link OmadaゲートウェイにOSコマンドインジェクション脆弱性(CVE-2025-6541/6542)TP-Link OmadaゲートウェイにOSコマンドインジェクション脆弱性(CVE-2025-6541/6542) クラウドストライクのEDR、Falcon Insight徹底解説 高度な脅威検出とリアルタイム対応の最前線クラウドストライクのEDR、Falcon Insight徹底解説 高度な脅威検出とリアルタイム対応の最前線 WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) 偽のグーグルクロームアップデートでPowerShellを実行させる偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導-ClickFixによるソーシャルエンジニアリング トレンドマイクロ Apex Centralに複数の脆弱性(CVE-2025-69258 / 69259 / 69260)トレンドマイクロ Apex Centralに複数の脆弱性(CVE-2025-69258 / 69259 / 69260) 米国が中国製 TP-Link ルーターの禁止を検討米国が中国製 TP-Link ルーターの禁止を検討 AWSとGoogle CloudのCLIツールで情報漏洩の脆弱性 LeakyCLIAWSとGoogle CloudのCLIツールで情報漏洩の脆弱性 LeakyCLIが発生 ビジネスメール詐欺の実態と対策-巧妙な手口で信頼関係を醸成ビジネスメール詐欺の実態と対策-巧妙な手口で信頼関係を醸成 Microsoft、Windowsの定例アップデートで3件のゼロデイ 脆弱性を修正(CVE-2026-20805/21265/CVE-2023-31096)Microsoft、Windowsの定例アップデートで3件のゼロデイ 脆弱性を修正(CVE-2026-20805/21265/CVE-2023-31096)