Spring Framework RCE脆弱性に関して

TP-Linkは、Spring FrameworkにおけるRCEの脆弱性CVE-2022-22965を認識しています。公式情報によると、本脆弱性の前提条件は以下の通りです。

• Spring Frameworkを使用していること。5.3.0 から 5.3.17, 5.2.0 から 5.2.19, サポートされていない古いバージョンも影響を受けます。
• JDK 9 以上
• Apache Tomcatをサーブレットコンテナとして利用
• WARとしてパッケージ化
• spring-webmvcまたはspring-webfluxに依存

TP-Linkではセキュリティを第一に考えています。TP-Linkはこの脆弱性を注意深く監視・調査しており、より多くの情報が入手可能になり次第、このアドバイザリーを更新していきます。

影響を受ける可能性のあるTP-Link製品

Omada Software Controller は Spring Framework を使用しており、バージョン 5.0 以降は Java 8 (OpenJDK-8) 以上に対応しています。しかし、Spring Frameworkを使用しているため、上記の前提条件を満たしておらず、攻撃シミュレーション/脆弱性スキャンの結果、Failureとなりました。

しかしながら、脆弱性の性質がより一般的であることを考慮し、コントローラを動作させるためには、Java 8 (OpenJDK-8) にダウングレードすることを推奨します。より詳細なガイドについては、弊社コミュニティをご参照ください。

なお、Omada Hardware Controller (OC200 v1/v2, OC300) および Omada Cloud-Based Controller は OpenJDK-8 を使用しているため、本脆弱性の影響は受けません。TP-Linkでは、内蔵のSpring Frameworkをアップデートし、今後のアップデートで本脆弱性を修正する予定です。

影響を受けないTP-Link製品

全てのWi-Fiルーター

メッシュWi-Fi(Deco)全般

すべての中継器

すべてのPLCアダプタ

ポケットWi-Fi製品全般

すべてのSMBルータ、スイッチ、Omada EAP、およびPharos CPE

すべてのVIGI製品

アプリ: Tether、Deco、Tapo、Kasa、tpMiFi、Omada

免責事項

推奨されるすべての対処を行わない場合、脆弱性は残ります。TP-Linkは、この声明にある推奨事項に従うことで回避できたであろう結果について、いかなる責任も負いません。