JVNDB-2026-009889

TP-LINK TechnologiesのAginet等の複数製品における過度に許容されるクロスドメインホワイトリストに関する脆弱性

寛容なWebセキュリティ設定により、特定の状況下で最新のブラウザが強制するクロスオリジン制限を回避できる可能性があります。悪用するためには、既存のクライアントサイドインジェクション脆弱性が存在し、影響を受けるWebインターフェースへのユーザーアクセスが必要です。悪用に成功すると、機密情報が不正に開示される可能性があります。この問題は、TP-Linkが自動的に展開する更新済みのOmada Cloud Controllerサービスのバージョンで修正されています。そのため、ユーザー側での対応は不要です。

TP-LINK Technologies

• Aginet 2.13.6 未満
• Deco 3.9.163 未満
• Festa 1.7.1 未満
• Kasa 3.4.350 未満
• KidShield 1.1.21 未満
• Omada 4.25.25 未満
• Omada Guard 1.1.28 未満
• tapo 3.14.111 未満
• Tether 4.12.27 未満
• TP-Partner 2.0.1 未満
• tpCamera 3.2.17 未満
• VIGI 2.7.70 未満
• Wi-Fi Navi 1.5.5 未満
• Wi-Fi Toolkit 1.4.28 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

TP-LINK Technologies

• Omada : Security Advisory on Permissive Web Security Policy Allows Cross-Origin Access Control Bypass on Omada Cloud Controllers and Insufficient Certificate Validation in Multiple Mobile Applications Allows Man in the Middle Interception (CVE-2025-9292 and CVE-2
• TP-Link : Security Advisory on Permissive Web Security Policy Allows Cross-Origin Access Control Bypass on Omada Cloud Controllers and Insufficient Certificate Validation in Multiple Mobile Applications Allows Man in the Middle Interception (CVE-2025-9292 and CVE-2

1. 過度に許容されるクロスドメインホワイトリスト(CWE-942) [その他]

1. CVE-2025-9292

1. National Vulnerability Database (NVD) : CVE-2025-9292

• [2026年04月03日]
    掲載