JVNDB-2024-001002

複数の TP-Link 製品における OS コマンドインジェクションの脆弱性

TP-Link が提供する複数の製品には、次の脆弱性が存在します。

　* OS コマンドインジェクション (CWE-78) - CVE-2024-21773
　* OS コマンドインジェクション (CWE-78) - CVE-2024-21821
　* OS コマンドインジェクション (CWE-78) - CVE-2024-21833

この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社ゼロゼロワン 早川 宙也 氏

TP-LINK Technologies

• Archer AX3000 「Archer AX3000(JP)_V1_1.1.2 Build 20231115」より前のファームウェア （CVE-2024-21773、CVE-2024-21821、CVE-2024-21833）
• Archer AX5400 「Archer AX5400(JP)_V1_1.1.2 Build 20231115」より前のファームウェア （CVE-2024-21773、CVE-2024-21821、CVE-2024-21833）
• Archer AXE75 「Archer AXE75(JP)_V1_231115」より前のファームウェア （CVE-2024-21821、CVE-2024-21833）
• Deco X50 「Deco X50(JP)_V1_1.4.1 Build 20231122」より前のファームウェア（CVE-2024-21773、CVE-2024-21833）
• Deco XE200 「Deco XE200(JP)_V1_1.2.5 Build 20231120」より前のファームウェア （CVE-2024-21773、CVE-2024-21833）

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

　* 当該製品にアクセス可能な攻撃者によって、任意の OS コマンドを実行される - CVE-2024-21773、CVE-2024-21833
　* 当該製品にログイン可能な攻撃者によって、任意の OS コマンドを実行される - CVE-2024-21821

[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。

TP-LINK Technologies

• TP-LINK Technologies : ダウンロードセンター
• TP-LINK Technologies : Archer AX3000 V1 のコンテンツ
• TP-LINK Technologies : Archer AX5400 V1 のコンテンツ
• TP-LINK Technologies : Archer AXE75 V1 のコンテンツ
• TP-LINK Technologies : Deco X50 V1 のコンテンツ
• TP-LINK Technologies : Deco XE200 V1 のコンテンツ

1. OSコマンドインジェクション(CWE-78) [その他]

1. CVE-2024-21773
2. CVE-2024-21821
3. CVE-2024-21833

1. JVN : JVNVU#91401812
2. National Vulnerability Database (NVD) : CVE-2024-21773
3. National Vulnerability Database (NVD) : CVE-2024-21821
4. National Vulnerability Database (NVD) : CVE-2024-21833

• [2024年01月10日]
    掲載
• [2024年03月14日]
    参考情報：National Vulnerability Database (NVD) (CVE-2024-21773) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2024-21821) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2024-21833) を追加