TP-Link OmadaゲートウェイにOSコマンドインジェクション脆弱性(CVE-2025-6541/6542)

セキュリティニュース

投稿日時: 更新日時:

TP-Link OmadaゲートウェイにOSコマンドインジェクション脆弱性(CVE-2025-6541/6542)

TP-Linkは2025年10月21日、Omadaゲートウェイ製品におけるOSコマンドインジェクション脆弱性2件(CVE-2025-6541/CVE-2025-6542)を公表しました。

いずれも任意コマンド実行につながる不具合で、CVE-2025-6542は遠隔・未認証で悪用可能(CVSS v4.0:9.3/Critical)、CVE-2025-6541は管理Webへログイン可能な攻撃者が悪用可能な脆弱性(CVSS v4.0:8.6/High)です。ベンダは各モデル向けに修正版ファームウェアを提供済みです。

影響機種と修正済みバージョン

以下モデルは表の「Fixed Version」以降へ更新してください

  • ER8411:Fixed 1.3.3 Build 20251013 Rel.44647 以上

  • ER7412-M2:Fixed 1.1.0 Build 20251015 Rel.63594 以上

  • ER707-M2:Fixed 1.3.1 Build 20251009 Rel.67687 以上

  • ER7206:Fixed 2.2.2 Build 20250724 Rel.11109 以上

  • ER605:Fixed 2.3.1 Build 20251015 Rel.78291 以上

  • ER706W:Fixed 1.2.1 Build 20250821 Rel.80909 以上

  • ER706W-4G:Fixed 1.2.1 Build 20250821 Rel.82492 以上

  • ER7212PC:Fixed 2.1.3 Build 20251016 Rel.82571 以上

  • G36:Fixed 1.1.4 Build 20251015 Rel.84206 以上

  • G611:Fixed 1.2.2 Build 20251017 Rel.45512 以上

  • FR365:Fixed 1.1.10 Build 20250626 Rel.81746 以上

  • FR205:Fixed 1.0.3 Build 20251016 Rel.61376 以上

  • FR307-M2:Fixed 1.2.5 Build 20251015 Rel.76743 以上

影響と深刻度

  • 想定される被害:装置OS上での任意コマンド実行、装置の完全侵害、設定窃取、ネットワーク内での横展開、長期的な持続化など。

  • 攻撃面:

    • CVE-2025-6542:ネットワーク経由・認証不要で成立。

    • CVE-2025-6541:管理Webにログイン可能な攻撃者により成立。