JVNDB-2026-009888

JVNDB-2026-009888
TP-LINK TechnologiesのAginet等の複数製品における証明書検証に関する脆弱性
概要
証明書検証ロジックの脆弱性により、アプリケーションはTLS通信中に信頼されていない、または不適切に検証されたサーバーの識別情報を受け入れてしまう可能性があります。特権的なネットワーク位置にいる攻撃者が通信チャネル内に自身を配置できれば、トラフィックを傍受または改ざんすることが可能です。これが成功すると、アプリケーションデータの機密性、完全性、および可用性が損なわれます。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 8.1 (重要) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): 高可用性への影響(A): 高
影響を受けるシステム

TP-LINK Technologies Aginet 2.13.6 未満 Deco 3.9.163 未満 Festa 1.7.1 未満 Kasa 3.4.350 未満 KidShield 1.1.21 未満 Omada 4.25.25 未満 Omada Guard 1.1.28 未満 tapo 3.14.111 未満 Tether 4.12.27 未満 TP-Partner 2.0.1 未満 tpCamera 3.2.17 未満 VIGI 2.7.70 未満 Wi-Fi Navi 1.5.5 未満 Wi-Fi Toolkit 1.4.28 未満
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
想定される影響
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
TP-LINK Technologies Omada : Security Advisory on Permissive Web Security Policy Allows Cross-Origin Access Control Bypass on Omada Cloud Controllers and Insufficient Certificate Validation in Multiple Mobile Applications Allows Man in the Middle Interception (CVE-2025-9292 and CVE-2 TP-Link : Security Advisory on Permissive Web Security Policy Allows Cross-Origin Access Control Bypass on Omada Cloud Controllers and Insufficient Certificate Validation in Multiple Mobile Applications Allows Man in the Middle Interception (CVE-2025-9292 and CVE-2
CWEによる脆弱性タイプ一覧 CWEとは?
不正な証明書検証(CWE-295) [その他]
共通脆弱性識別子(CVE) CVEとは?
CVE-2025-9293
参考情報
National Vulnerability Database (NVD) : CVE-2025-9293
更新履歴
[2026年04月03日] 掲載


公表日	2026/02/13
登録日	2026/04/03
最終更新日	2026/04/03

TP-LINK TechnologiesのAginet等の複数製品における証明書検証に関する脆弱性