TP-Linkは7月22日(米国時間)、「Statement on authenticated and unauthenticated command injection on VIGI NVR1104H-4P V1 and VIGI NVR2016H-16MP V2 (CVE-2025-7723 and CVE-2025-7724)|TP-Link」において、同社のネットワークビデオレコーダー(NVR)から重大な脆弱性が発見されたと報じた。

これら脆弱性を悪用されると、認証されていない同一ネットワーク上にいる攻撃者に、任意のOSコマンドを実行される可能性がある。

  • Statement on authenticated and unauthenticated command injection on VIGI NVR1104H-4P V1 and VIGI NVR2016H-16MP V2 (CVE-2025-7723 and CVE-2025-7724)|TP-Link

    Statement on authenticated and unauthenticated command injection on VIGI NVR1104H-4P V1 and VIGI NVR2016H-16MP V2 (CVE-2025-7723 and CVE-2025-7724)|TP-Link

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-7723 - OSコマンドインジェクションの脆弱性。認証を受けていれば誰でも任意のコマンドを実行できる可能性がある(CVSSv4スコア: 8.5)
  • CVE-2025-7724 - OSコマンドインジェクションの脆弱性。認証されていない状態で任意のコマンドを実行できる可能性がある(CVSSv4スコア: 8.7)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびファームウェアバージョンは次のとおり。

  • VIGI NVR1104H-4P V1 バージョン1.1.5 Build 250518よりも前のバージョン
  • VIGI NVR2016H-16MP V2 バージョン1.3.1 Build 250407よりも前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびファームウェアバージョンは次のとおり。

  • VIGI NVR1104H-4P V1 バージョン1.1.5 Build 250518
  • VIGI NVR2016H-16MP V2 バージョン1.3.1 Build 250407

対策

脆弱性の深刻度はいずれも重要(Important)と評価されており注意が必要。該当デバイスを所有するユーザーは、最新のファームウェアにアップデートすることが推奨されている。また、侵害されていないかどうかを確認するため、アップデート後すべての設定を調査することが望まれている。