JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月9日、「JVNVU#91401812: 複数のTP-Link製品におけるOSコマンドインジェクションの脆弱性」において、TP-Linkの複数の製品に複数の脆弱性が存在するとして、注意を喚起した。
修正対象の脆弱性の概要
修正された脆弱性は「CVE-2024-21773」、「CVE-2024-21821」、「CVE-2024-21833」の3件。いずれも該当製品にアクセス可能な攻撃者によって任意のOSコマンドを実行される可能性があるとされる。これら脆弱性の深刻度は重要(Important)と評価されている。
脆弱性を抱えているプロダクトおよびバージョン
脆弱性を抱えているプロダクトおよびバージョンは次のとおり。
- Archer AX3000 - Archer AX3000(JP)_V1_1.1.2 Build 20231115より前のファームウェア
- Archer AX5400 - Archer AX5400(JP)_V1_1.1.2 Build 20231115より前のファームウェア
- Archer AXE75 - Archer AXE75(JP)_V1_231115より前のファームウェア
- Deco X50 - Deco X50(JP)_V1_1.4.1 Build 20231122より前のファームウェア
- Deco XE200 - Deco XE200(JP)_V1_1.2.5 Build 20231120より前のファームウェア
脆弱性が修正されたプロダクトおよびバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Archer AX3000 - Archer AX3000(JP)_V1_1.1.2 Build 20231115およびこれ以降のファームウェア
- Archer AX5400 - Archer AX5400(JP)_V1_1.1.2 Build 20231115およびこれ以降のファームウェア
- Archer AXE75 - Archer AXE75(JP)_V1_231115およびこれ以降のファームウェア
- Deco X50 - Deco X50(JP)_V1_1.4.1 Build 20231122およびこれ以降のファームウェア
- Deco XE200 - Deco XE200(JP)_V1_1.2.5 Build 20231120およびこれ以降のファームウェア
JPCERT/CCは、開発者の提供する情報に基づいて、ファームウェアを最新版にアップデートすることを推奨している。