TP-Linkは3月25日(現地時間)、「Security Advisory on Multiple Vulnerabilities on TP-Link Archer NX200, NX210, NX500 and NX600 (CVE-2025-15517 to CVE-2025-15519 and CVE-2025-15605)」において、同社のArcher NXシリーズのルータから発見された複数の脆弱性を修正したと発表した。

対象の脆弱性を悪用されると、隣接ネットワークにアクセス可能な認証されていない攻撃者にファームウェアのアップロードを含む任意の設定操作を実行される可能性がある。

  • TP-Linkルータに未認証で設定改ざんの恐れがある脆弱性が判明

    TP-Linkルータに未認証で設定改ざんの恐れがある脆弱性が判明

未認証で設定操作も可能、深刻な脆弱性の内容

TP-Linkが公表したセキュリティアドバイザリによると、今回修正された脆弱性には、不十分な認証処理やコマンドインジェクション、ハードコードされた暗号鍵の問題が含まれる。

特に、不十分な認証確認の脆弱性(CVE-2025-15517)では、隣接ネットワークにアクセス可能な未認証の攻撃者が、ファームウェアのアップロードや設定変更といった特権操作を実行できる可能性がある。

また、コマンドインジェクション(CVE-2025-15518、CVE-2025-15519)では、管理者権限を持つ攻撃者による任意のOSコマンド実行のリスクがあるほか、暗号鍵の問題(CVE-2025-15605)により設定の改ざんが可能となる恐れがある。

いずれもCVSSスコアは8.5以上と高く、深刻度は「重要(Important)」と評価されている。

どの製品が影響を受けるのか(NXシリーズ一覧)

影響を受けるのは、Archer NX200/NX210/NX500/NX600シリーズの複数バージョンで、いずれも特定のファームウェアより前のバージョンが対象となる。

  • Archer NX600 v3.0 ファームウェアバージョン1.3.0 Build 260309よりも前のバージョン
  • Archer NX600 v2.0 ファームウェアバージョン1.3.0 Build 260311よりも前のバージョン
  • Archer NX600 v1.0 ファームウェアバージョン1.4.0 Build 260311よりも前のバージョン
  • Archer NX500 v2.0 ファームウェアバージョン1.5.0 Build 260309よりも前のバージョン
  • Archer NX500 v1.0 ファームウェアバージョン1.3.0 Build 260311よりも前のバージョン
  • Archer NX210 v3.0 ファームウェアバージョン1.3.0 Build 260309よりも前のバージョン
  • Archer NX210 v2.0、v2.20 ファームウェアバージョン1.3.0 Build 260311よりも前のバージョン
  • Archer NX200 v3.0 ファームウェアバージョン1.3.0 Build 260309よりも前のバージョン
  • Archer NX200 v2.20 ファームウェアバージョン1.3.0 Build 260311よりも前のバージョン
  • Archer NX200 v2.0 ファームウェアバージョン1.3.0 Build 260311よりも前のバージョン
  • Archer NX200 v1.0 ファームウェアバージョン1.8.0 Build 260311よりも前のバージョン

対象機種とアップデート対象バージョン

TP-Linkは、各対象製品について修正版のファームウェアを公開しており、アップデートを適用することで脆弱性は解消される。

  • Archer NX600 v3.0 ファームウェアバージョン1.3.0 Build 260309
  • Archer NX600 v2.0 ファームウェアバージョン1.3.0 Build 260311
  • Archer NX600 v1.0 ファームウェアバージョン1.4.0 Build 260311
  • Archer NX500 v2.0 ファームウェアバージョン1.5.0 Build 260309
  • Archer NX500 v1.0 ファームウェアバージョン1.3.0 Build 260311
  • Archer NX210 v3.0 ファームウェアバージョン1.3.0 Build 260309
  • Archer NX210 v2.0、v2.20 ファームウェアバージョン1.3.0 Build 260311
  • Archer NX200 v3.0 ファームウェアバージョン1.3.0 Build 260309
  • Archer NX200 v2.20 ファームウェアバージョン1.3.0 Build 260311
  • Archer NX200 v2.0 ファームウェアバージョン1.3.0 Build 260311
  • Archer NX200 v1.0 ファームウェアバージョン1.8.0 Build 260311

今すぐアップデートを、TP-Linkが対応呼びかけ

TP-Linkは、影響を受ける製品の利用者に対し、速やかに最新のファームウェアへアップデートするよう呼びかけている。

ルータはネットワークの入り口に位置する機器であり、脆弱性が悪用された場合、通信の改ざんや不正アクセスの足掛かりとなる可能性もある。該当機種を使用している場合は、早急な対応が求められる。

家庭や小規模オフィスで利用されるルータも対象となるため、個人利用者も含めて注意が必要だ。