公開日:2025/08/05 最終更新日:2025/08/05
JVNVU#97735345
TP-Link製ルーターArcher C50におけるハードコードされた暗号鍵使用の脆弱性
TP-Linkが提供するルーターArcher C50には、ハードコードされた暗号鍵使用の脆弱性が存在します。
- TP-Link Archer C50 V3 ファームウェアバージョン 180703およびそれ以前
- TP-Link Archer C50 V4 ファームウェアバージョン 250117およびそれ以前
- TP-Link Archer C50 V5 ファームウェアバージョン 200407およびそれ以前
TP-Link製ルーターArcher C50は、設定ファイルを暗号化して保存していますが、この暗号化にはDESのECBモードが使用されています。当該DES鍵を知っていれば、設定ファイルを復号することが可能です。また、DES鍵はファームウェア中にハードコードされているため、同一ファームウェアで稼働する全ての機器において同一の鍵が使われます(CVE-2025-6982)。
設定ファイルに含まれている各種情報(管理者アカウントの認証情報、Wi-Fi設定におけるSSIDやパスワード、内部のネットワーク構造に関する情報など)を取得される可能性があります。
製品の使用を停止する、後継製品に移行する
TP-Link製ルーターArcher C50のサポートは既に終了しています。開発者は該当製品の使用停止および後継製品への移行を推奨しています。
詳細は、開発者が提供する情報を確認してください。
-
CERT/CC Vulnerability Note VU#554637
TP-Link Archer C50 router is vulnerable to configuration-file decryption