TP-Linkルーターに新たな重大なルートアクセス脆弱性、復活したデバッグコードが原因

TP-LinkのOmadaおよびFesta VPNルーターに関する2つの新たな脆弱性が発見され、同社のファームウェアのセキュリティに深刻な弱点が露呈しました。これらの脆弱性は、CVE-2025-7850とCVE-2025-7851として追跡されており、ForescoutのVedere Labsの研究者によって発見されました。これらの脆弱性は、未完全なパッチ適用と残留したデバッグコードの一貫した問題の一環として説明されています。CVE-2025-7851は、パッチを施したファームウェアに残っていたデバッグコードから発生し、CVE-2025-7850はWireGuard VPNインターフェースを通じてコマンドインジェクションを可能にしました。これらの脆弱性を悪用することで、他の脆弱性のトリガーが容易になり、攻撃者がルートアクセスを取得することが可能となる場合があります。以前知られていたCVE-2024-21827の問題では、攻撃者が「残留デバッグコード」の機能を利用して、TP-Linkルーターにルートアクセスを取得することができました。