| タイトル | TP-LINK TechnologiesのArcher C64 Firmwareにおける複数の脆弱性 |
|---|---|
| 概要 | Archer C64 v1のデバッグSSHサービスにおいて、認証レート制限が適切に強制されていないため、SSHサービスは無制限の認証試行を許可し、Webインターフェースと同じ資格情報を使用します。これにより、攻撃者はSSH経由で有効な資格情報をブルートフォース攻撃によって取得することが可能です。悪用が成功すると、隣接ネットワークアクセス権を持つ攻撃者は無制限の認証試行により管理者資格情報を入手し、その後デバイスの完全な管理者アクセスを獲得して、システムの機密性、完全性、および可用性に影響を与える可能性があります。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月28日0:00 |
| 登録日 | 2026年6月5日10:50 |
| 最終更新日 | 2026年6月5日10:50 |
| CVSS3.0 : 重要 | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| TP-LINK Technologies |
| Archer C64 Firmware 1.15.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月05日] 掲載 |
2026年6月5日10:50 |
| 概要 | Due to improper enforcement of authentication rate-limiting on a debug SSH service in Archer C64 v1, the SSH service allows unlimited authentication attempts and uses the same credentials as the web interface. This enables an attacker to brute-force valid credentials via SSH. Successful exploitation could allow an attacker with adjacent network access to obtain administrative credentials through unrestricted authentication attempts and subsequently gain full administrative access to the device, impacting system confidentiality, integrity, and availability. |
|---|---|
| 公表日 | 2026年5月29日2:16 |
| 登録日 | 2026年5月29日4:15 |
| 最終更新日 | 2026年6月4日3:14 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:tp-link:archer_c64_firmware:1.15.0:*:*:*:*:*:*:* | |||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |