Omadaクラウドコントローラーにおけるクロスオリジン制御回避の可能性、および複数のモバイルアプリにおける証明書検証不備による中間者攻撃の可能性に関するセキュリティアドバイザリ(CVE-2025-9292、CVE-2025-9293)
2234 脆弱性の説明および影響:
CVE-2025-9292: 過度に許可されたWebセキュリティポリシーにより、Omadaクラウドコントローラーでクロスオリジン制御を回避可能
OmadaクラウドコントローラーにおけるWebセキュリティ設定が過度に許可された構成となっている場合、特定の条件下で最新のブラウザが適用するクロスオリジン制限が回避される可能性があります。本脆弱性の悪用には、既存のクライアント側インジェクション脆弱性の存在および、影響を受けるWebインターフェースへのユーザーアクセスが必要です。
悪用に成功した場合、機密情報が不正に開示される可能性があります。
CVSS v4.0 スコア: 2.0 / 低
CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
CVE-2026-9293: 複数のモバイルアプリにおける証明書検証不備により、中間者攻撃が可能
証明書の検証処理に不備があり、TLS通信中に信頼されていない、または正しく検証されていないサーバー証明書を受け入れてしまう可能性があります。攻撃者が通信経路上の優位な位置に存在する場合、通信を傍受または改ざんできる可能性があります。
悪用に成功した場合、アプリケーションデータの機密性、完全性、可用性が損なわれる可能性があります。
CVSS v4.0 スコア: 7.7 / 高
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:L/SI:N/SA:N
影響を受ける製品/バージョンおよび修正情報:
|
対象アプリ |
影響を受けるバージョン |
| Tapo | < 3.14.111より前のバージョン |
| Kasa | < 3.4.350より前のバージョン |
| Omada | < 4.25.25より前のバージョン |
| Omada Guard | < 1.1.28より前のバージョン |
| Tether | < 4.12.27より前のバージョン |
| Deco | < 3.9.163より前のバージョン |
| Aginet | < 2.13.6より前のバージョン |
| tpCamera | < 3.2.17より前のバージョン |
| WiFi Toolkit | < 1.4.28より前のバージョン |
| Festa | < 1.7.1より前のバージョン |
| Wi-Fi Navi | < 1.5.5より前のバージョン |
| KidShield | < 1.1.21より前のバージョン |
| TP-Partner | < 2.0.1より前のバージョン |
| VIGI | < 2.7.70より前のバージョン |
推奨事項:
影響を受ける製品をご利用のお客様は、以下の対応を強く推奨します。
- CVE-2025-9292について:
Omadaクラウド環境をご利用の場合、ユーザー側での対応は不要です。TP-Linkにより検証後、クラウド環境へ自動的に更新が適用されます。
- CVE-2026-9293について:
影響を受けるモバイルアプリをご利用の場合は、以下を実施してください。
- Google Playストアを開く
- 利用可能なアップデートを確認する
- 最新バージョンへ更新する(上記の対象バージョンをご参照ください)
注意:iOSアプリは影響を受けません。
免責事項:
推奨されるすべての対応を実施しない場合、本脆弱性は引き続き存在します。本アドバイザリに従わなかったことにより回避可能であった結果について、TP-Linkは責任を負いかねます。
このFAQは役に立ちましたか?
サイトの利便性向上にご協力ください。