【要点】

◎TP-Link Archer MR600 v5に管理画面のコマンド注入CVE-2025-14756。認証済み攻撃で任意コマンド実行が可能で、FW1.1.0以上へ更新が必要 (gbhackers.)

【訳】

TP-Link Archerルーターの脆弱性により、ユーザーがリモート攻撃やデバイスの完全制御に晒される

【要約】

TP-Link Archer MR600 v5の管理インタフェースにコマンドインジェクション脆弱性CVE-2025-14756が判明。管理者資格情報を持つ攻撃者が、ブラウザ開発者コンソール経由で悪意コマンドを注入し、画面側の防御を迂回して任意のシステムコマンドを実行できる。認証必須かつ文字数制限はあるが、成功すれば端末の完全侵害やネットワーク制御に至り得る。CVSS v4.0は8.5（High）、攻撃ベクタは隣接（ローカルNW）で複雑度は低い。影響はFW 1.1.0未満で、TP-Linkは2026年1月に修正版を提供。更新後は管理者パスワード変更と不審アクセス監視が推奨。

【ニュース】

◆TP-Link Archer Router Flaw Exposes Users to Remote Attacks and Full Device Control (gbhackers., 2026/01/28)
[TP-Link Archerルーターの脆弱性により、ユーザーがリモート攻撃やデバイスの完全制御に晒される]
https://gbhackers.com/tp-link-archer-router-flaw/