TP-Linkは8月25日(米国時間)、「Statement on Unauthenticated Protocol Commands on TP-Link KP303 (CVE-2025-8627)」において、同社製スマートプラグ「KP303 V2.0(US)」から重大な脆弱性が発見されたと発表した。
脆弱性を悪用されると、認証されていない攻撃者に電源を切られたり情報を窃取される可能性がある。
-
Statement on Unauthenticated Protocol Commands on TP-Link KP303 (CVE-2025-8627)
脆弱性に関する情報
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-8627 - 認証欠落の脆弱性。認証されていない隣接ネットワークの攻撃者は、プロトコルコマンドを送信することで電源オフ状態への遷移や情報を窃取できる可能性がある(CVSSv4スコア: 8.7)
脆弱性が存在する製品
脆弱性が存在するとされる製品およびファームウェアバージョンは次のとおり。
- KP303 V2.0(US) ファームウェアバージョン1.1.0よりも前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびファームウェアバージョンは次のとおり。
- KP303 V2.0(US) ファームウェアバージョン1.1.0およびこれ以降のバージョン
この脆弱性の深刻度は重要(Important)と評価されており注意が必要。当該製品を運用しているユーザーには、速やかなファームウェアアップデートが推奨されている。
