TP-Link製ルーターに重要度の高い脆弱性 早急な更新を推奨：セキュリティニュースアラート

TP-Linkは同社製品のArcher MR600 v5にコマンドインジェクションの脆弱性が存在すると公表した。認証済み攻撃者が管理インタフェースからシステムコマンドを実行し、機器を制御する恐れがある。同社は最新版への更新を推奨している。

[ITmedia エンタープライズ編集部]

　TP-Linkは2026年1月26日（現地時間）、同社製ルーター「Archer MR600 v5」に認証済みコマンドインジェクションの脆弱（ぜいじゃく）性が存在すると公表した。この脆弱性が悪用されると、管理者用インタフェースにおいて不正な入力が処理されることにより、システムコマンドが実行される可能性がある。

Archer MR600 v5に深刻度「重要」の脆弱性　急ぎアップデートを

　対象となる脆弱性はCVE-2025-14756として識別されている。この脆弱性は、Archer MR600 v5のファームウェアに含まれる管理インタフェース部品に起因するとされる。攻撃者が正規の認証情報を有する場合、Webブラウザの開発者コンソールを通じて細工した入力を送信することで、注入できるコマンドの長さに制限はあるものの、システムコマンドを注入・実行できる可能性がある。この結果、サービス停止や機器全体の制御取得につながる恐れがある。

　CVE-2025-14756は、共通脆弱性評価システム（CVSS）v4.0のスコア8.5で、深刻度「重要」（High）に分類された。評価指標においては攻撃経路が隣接ネットワークに限定される点や、高い権限を要する点が示されているが、機密性、完全性、可用性の各要素の影響は高い水準とされる。

　影響を受ける製品はTP-Linkが提供するArcher MR600 v5で、対象となるファームウェアはv0001.0 Build 250930 Rel.63611nより以前のバージョンだ。TP-Linkは修正版のファームウェアを提供済みであり、更新によって該当の問題が修正される。

　同社は利用者に対し、影響を受ける機器を使用する場合は速やかに最新のファームウェアを入手し、更新作業を実施するよう強く推奨している。推奨手順を実施しない場合、脆弱性に関する懸念は解消されないと記載している。

　補足情報として、Archer MR600は米国市場では販売されていない製品としている。ただし他の地域で本機種を運用する利用者にとっては、適切な対策を講じない限り、セキュリティリスクが残存する。報告された脆弱性は管理インタフェースにおける入力処理の安全性が、ネットワーク機器の運用において重要な要素になっていることを示す事例といえる。利用者には、ベンダーから提供される情報を確認し、機器の状態を最新に保つ対応が求められる。