TP-Linkは2025年10月21日、Omadaゲートウェイ製品におけるOSコマンドインジェクション脆弱性2件(CVE-2025-6541/CVE-2025-6542)を公表しました。
いずれも任意コマンド実行につながる不具合で、CVE-2025-6542は遠隔・未認証で悪用可能(CVSS v4.0:9.3/Critical)、CVE-2025-6541は管理Webへログイン可能な攻撃者が悪用可能な脆弱性(CVSS v4.0:8.6/High)です。ベンダは各モデル向けに修正版ファームウェアを提供済みです。
影響機種と修正済みバージョン
以下モデルは表の「Fixed Version」以降へ更新してください
-
ER8411:Fixed 1.3.3 Build 20251013 Rel.44647 以上
-
ER7412-M2:Fixed 1.1.0 Build 20251015 Rel.63594 以上
-
ER707-M2:Fixed 1.3.1 Build 20251009 Rel.67687 以上
-
ER7206:Fixed 2.2.2 Build 20250724 Rel.11109 以上
-
ER605:Fixed 2.3.1 Build 20251015 Rel.78291 以上
-
ER706W:Fixed 1.2.1 Build 20250821 Rel.80909 以上
-
ER706W-4G:Fixed 1.2.1 Build 20250821 Rel.82492 以上
-
ER7212PC:Fixed 2.1.3 Build 20251016 Rel.82571 以上
-
G36:Fixed 1.1.4 Build 20251015 Rel.84206 以上
-
G611:Fixed 1.2.2 Build 20251017 Rel.45512 以上
-
FR365:Fixed 1.1.10 Build 20250626 Rel.81746 以上
-
FR205:Fixed 1.0.3 Build 20251016 Rel.61376 以上
-
FR307-M2:Fixed 1.2.5 Build 20251015 Rel.76743 以上
影響と深刻度
-
想定される被害:装置OS上での任意コマンド実行、装置の完全侵害、設定窃取、ネットワーク内での横展開、長期的な持続化など。
-
攻撃面:
-
CVE-2025-6542:ネットワーク経由・認証不要で成立。
-
CVE-2025-6541:管理Webにログイン可能な攻撃者により成立。
-




の報奨-200x200.png)



