JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月9日、「JVNVU#91401812: 複数のTP-Link製品におけるOSコマンドインジェクションの脆弱性」において、TP-Linkの複数の製品に複数の脆弱性が存在するとして、注意を喚起した。

  • JVNVU#91401812: 複数のTP-Link製品におけるOSコマンドインジェクションの脆弱性

    JVNVU#91401812: 複数のTP-Link製品におけるOSコマンドインジェクションの脆弱性

修正対象の脆弱性の概要

修正された脆弱性は「CVE-2024-21773」、「CVE-2024-21821」、「CVE-2024-21833」の3件。いずれも該当製品にアクセス可能な攻撃者によって任意のOSコマンドを実行される可能性があるとされる。これら脆弱性の深刻度は重要(Important)と評価されている。

脆弱性を抱えているプロダクトおよびバージョン

脆弱性を抱えているプロダクトおよびバージョンは次のとおり。

  • Archer AX3000 - Archer AX3000(JP)_V1_1.1.2 Build 20231115より前のファームウェア
  • Archer AX5400 - Archer AX5400(JP)_V1_1.1.2 Build 20231115より前のファームウェア
  • Archer AXE75 - Archer AXE75(JP)_V1_231115より前のファームウェア
  • Deco X50 - Deco X50(JP)_V1_1.4.1 Build 20231122より前のファームウェア
  • Deco XE200 - Deco XE200(JP)_V1_1.2.5 Build 20231120より前のファームウェア

脆弱性が修正されたプロダクトおよびバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Archer AX3000 - Archer AX3000(JP)_V1_1.1.2 Build 20231115およびこれ以降のファームウェア
  • Archer AX5400 - Archer AX5400(JP)_V1_1.1.2 Build 20231115およびこれ以降のファームウェア
  • Archer AXE75 - Archer AXE75(JP)_V1_231115およびこれ以降のファームウェア
  • Deco X50 - Deco X50(JP)_V1_1.4.1 Build 20231122およびこれ以降のファームウェア
  • Deco XE200 - Deco XE200(JP)_V1_1.2.5 Build 20231120およびこれ以降のファームウェア

JPCERT/CCは、開発者の提供する情報に基づいて、ファームウェアを最新版にアップデートすることを推奨している。