公開日:2024/01/09 最終更新日:2024/01/09
JVNVU#91401812
複数のTP-Link製品におけるOSコマンドインジェクションの脆弱性
TP-Linkが提供する複数の製品には、OSコマンドインジェクションの脆弱性が存在します。
CVE-2024-21773
- Archer AX3000「Archer AX3000(JP)_V1_1.1.2 Build 20231115」より前のファームウェア
- Archer AX5400「Archer AX5400(JP)_V1_1.1.2 Build 20231115」より前のファームウェア
- Deco X50「Deco X50(JP)_V1_1.4.1 Build 20231122」より前のファームウェア
- Deco XE200「Deco XE200(JP)_V1_1.2.5 Build 20231120」より前のファームウェア
- Archer AX3000「Archer AX3000(JP)_V1_1.1.2 Build 20231115」より前のファームウェア
- Archer AX5400「Archer AX5400(JP)_V1_1.1.2 Build 20231115」より前のファームウェア
- Archer AXE75「Archer AXE75(JP)_V1_231115」より前のファームウェア
- Archer AX3000「Archer AX3000(JP)_V1_1.1.2 Build 20231115」より前のファームウェア
- Archer AX5400「Archer AX5400(JP)_V1_1.1.2 Build 20231115」より前のファームウェア
- Archer AXE75「Archer AXE75(JP)_V1_231115」より前のファームウェア
- Deco X50「Deco X50(JP)_V1_1.4.1 Build 20231122」より前のファームウェア
- Deco XE200「Deco XE200(JP)_V1_1.2.5 Build 20231120」より前のファームウェア
TP-Linkが提供する複数の製品には、次の脆弱性が存在します。
- OSコマンドインジェクション (CWE-78) - CVE-2024-21773
CVSS v3 CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 7.5 - OSコマンドインジェクション (CWE-78) - CVE-2024-21821
CVSS v3 CVSS:3.1/AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.1 - OSコマンドインジェクション (CWE-78) - CVE-2024-21833
CVSS v3 CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 7.5
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該製品にアクセス可能な攻撃者によって、任意のOSコマンドを実行される - CVE-2024-21773、CVE-2024-21833
- 当該製品にログイン可能な攻撃者によって、任意のOSコマンドを実行される - CVE-2024-21821
アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。
ベンダ | リンク |
ティーピーリンクジャパン株式会社 | ダウンロードセンター |
Archer AX3000 V1 のコンテンツ | |
Archer AX5400 V1 のコンテンツ | |
Archer AXE75 V1 のコンテンツ | |
Deco X50 V1 のコンテンツ | |
Deco XE200 V1 のコンテンツ |
この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社ゼロゼロワン 早川 宙也 氏
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2024-21773 |
CVE-2024-21821 |
|
CVE-2024-21833 |
|
JVN iPedia |
|