TP-Linkの無線LANルーター「Archer NXシリーズ」に複数の重大な脆弱性：セキュリティニュースアラート

TP-Linkは無線LANルーター「Archer NXシリーズ」に複数の脆弱性があると公表した。認証不要で管理操作が可能となる欠陥やコマンド実行の問題、設定暗号の不備が含まれる。対象バージョンには更新版ファームウェアの適用が推奨されている。

[ITmedia エンタープライズ編集部，ITmedia]

　TP-Linkは2026年3月23日（現地時間）、TP-Link無線ルーター「Archer NX」シリーズに複数のセキュリティ問題が存在すると発表した。

　対象となるのは「Archer NX200」「NX210」「NX500」「NX600」の各モデルで、いずれも深刻度の高い脆弱（ぜいじゃく）性が確認されている。該当製品を利用するユーザーに対し、最新版ファームウェアへの更新を強く求めている。

4件の脆弱性　機器の安全性に重大な影響を及ぼす可能性あり

　今回公表された脆弱性は4件で、いずれも機器の安全性に重大な影響を及ぼす可能性がある。「CVE-2025-15517」はHTTPサーバの一部エンドポイントにおいて認証確認が欠落している問題だ。本来ログイン済みユーザーのみが実行可能な操作に対し、認証なしでアクセスできる状態となる。これにより、攻撃者がファームウェアのアップロードや設定変更などの管理操作を実行できる恐れがある。CVSSスコアは8.6と評価されており、深刻度は「High」とされる。

　「CVE-2026-15518」および「CVE-2026-15519」は、いずれもコマンドインジェクションに関する問題とされる。無線制御およびモデム管理のCLI機能において入力値の処理が不十分であり、細工された入力がOSコマンドとして実行される可能性がある。これらは管理者権限を持つユーザーに限定されるが、成功した場合、機器上で任意のコマンド実行が可能となり、機密性・完全性・可用性全てに影響を与える。CVSSスコアはいずれも8.5だ。

　「CVE-2025-15605」においては、設定データの暗号化機構に固定鍵が使用されている問題が指摘されている。この欠陥により、認証済みユーザーが設定ファイルを復号し、内容を書き換えて再暗号化できる。結果として、設定情報の改ざんや情報漏えいにつながる危険がある。こちらもCVSSスコアは8.5だ。

　次の製品およびバージョンが影響を受ける。

• Archer NX600 v3.0系 1.3.0 Build 260309よりも前のバージョン
• Archer NX600 v2.0系 1.3.0 Build 260311よりも前のバージョン
• Archer NX600 v1.0系 1.4.0 Build 260311よりも前のバージョン
• Archer NX500 v2.0系 1.5.0 Build 260309よりも前のバージョン
• Archer NX500 v1.0系 1.3.0 Build 260311よりも前のバージョン
• Archer NX210 v3.0系.3.0 Build 260309よりも前のバージョン
• Archer NX210 v2.0系 1.3.0 Build 260311よりも前のバージョン
• Archer NX210 v2.20系 1.3.0 Build 260311よりも前のバージョン
• Archer NX200 v3.0系 1.3.0 Build 260309よりも前のバージョン
• Archer NX200 v2.20系 1.3.0 Build 260311よりも前のバージョン
• Archer NX200 v2.0系 1.3.0 Build 260311よりも前のバージョン
• Archer NX200 v1.0系 1.8.0 Build 260311よりも前のバージョン

　TP-Linkは対策として、最新のファームウェアをダウンロードし適用することを推奨している。脆弱性の性質上、外部ネットワークからのアクセスや管理権限の取り扱い状況によってリスクの大きさが変化するため、管理インタフェースの公開範囲やアクセス制御の設定も見直す必要がある。

　今回の発表は、ネットワーク機器の継続的な更新と運用管理の重要性をあらためて示すものとなった。利用者はメーカーからの情報を定期的に確認し、迅速に対応する必要がある。