Vigi Logo official website
お問い合わせ
日本 / 日本語

Omadaコントローラー(CVE-2025-9289)のクロスサイトスクリプティング攻撃、及びOmadaコントローラー・ゲートウェイ・アクセスポイントの認証弱点(CVE-2025-9290)に関するセキュリティアドバイザリー

セキュリティ情報
ブックマークリンクをコピー
01-23-2026

脆弱性の説明と影響:

CVE-2025-9289: Omada コントローラー

入力値の適切な無害化処理が行われていないことにより、Omada コントローラーの特定のパラメーターにおいてクロスサイトスクリプティング(XSS)の脆弱性が確認されました。悪用には、ネットワーク上で有利な位置を確保する、または信頼された存在を装うなどの高度な条件に加え、認証済み管理者による操作が必要です。悪用に成功した場合、攻撃者は管理者のブラウザー上で任意の JavaScript を実行でき、機密情報の漏えいや機密性の侵害につながる可能性があります。

CVSS v4.0 スコア: 5.7 / 中

CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:A/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N

CVE-2025-9290: Omada コントローラー、ゲートウェイ、アクセスポイント

コントローラーとデバイスの導入処理において、乱数値の取り扱いが不適切であることに起因する認証上の弱点が確認されました。悪用には高度なネットワーク上のポジショニングが必要であり、攻撃者は導入時の通信を傍受し、オフラインでの事前計算により正当な認証を偽造できる可能性があります。その結果、機密情報の漏えいや機密性の侵害につながるおそれがあります。

CVSS v4.0 スコア: 6 / 中

CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

影響を受ける製品の概要:

製品群

モデル

CVE

影響を受けるバージョン

コントローラー

ソフトウェア (Win/Linux)・クラウド・OCシリーズ(OC200/OC220/OC300/OC400)

CVE-2025-9289

CVE-2025-9290

< 6.0.0.x

ゲートウェイ

ER/DRシリーズ (ER605・ER7206・ER7406・ER707-M2・ER7412-M2・ER8411・ER706Wシリーズ・ER701-5G・ER7212PC・FR365・G36W-4G

CVE-2025-9290

< 該当バージョン

アクセスポイント

EAP series (EAP655-Wall・EAP660 HD・EAP620 HD・EAP610・EAP623/625 Outdoor HD・EAP772/770/723/773/783/787・EAP725-Wall・Bridge Kits・Beam Bridge・EAP603GP/EAP615GP/EAP625GP/EAP610GP/EAP650GP・EAP653/EAP650-Outdoor/EAP230/EAP235/EAP603-Outdoor/EAP653 UR/EAP650-Desktop/EAP615-Wall/EAP100-Bridge KIT)

CVE-2025-9290

< 該当バージョン

 

詳細なバージョン情報:

影響を受ける製品

関連する脆弱性

影響を受けるバージョン

コントローラー:

 

 

ソフトウェアコントローラー (Win & Linux)

CVE-2025-9289

CVE-2025-9290

< 6.0.0.24

クラウドコントローラー

CVE-2025-9289

CVE-2025-9290

< 6.0.0.100

ハードウェアコントローラー:

 

 

OC200

CVE-2025-9289

CVE-2025-9290

< 6.0.0.34

OC200(UN)_V1_1.37.9 Build 20251027 OC200(UN)_V2_2.22.9 Build 20251027

OC220

CVE-2025-9289

< 6.0.0.34 OC220(UN)_V1_1.2.9 Build 20251027

OC220

CVE-2025-9290

<5.15.24

OC220(UN)_V1_1.1.3 Build 20250918

OC220(UN)_V2 Build 20250929

OC300

CVE-2025-9289

CVE-2025-9290

< 6.0.0.34

OC300(UN)_V1.6_1.31.9 Build 20251027

OC400

CVE-2025-9289

CVE-2025-9290

< 6.0.0.34

OC400(UN)_V1.6_1.9.9 Build 20251027

ゲートウェイ:

 

 

ER605 v2.0

CVE-2025-9290

< 2.3.2 Build 20251029 Rel.12727

ER7206 v2.0

CVE-2025-9290

< 2.2.2 Build 20250724 Rel.11109

ER7406

CVE-2025-9290

< 1.2.2 Build 20250724 Rel.11109

ER707-M2

CVE-2025-9290

< 1.3.1 Build 20251009 Rel.67687

ER7412-M2

CVE-2025-9290

< 1.1.0 Build 20251015 Rel.63594

ER8411

CVE-2025-9290

< 1.3.5 Build 20251028 Rel.06811

ER706W

CVE-2025-9290

< (JP) 1.1.12 Build 20250724 Rel.68651

ER706W-4G

CVE-2025-9290

< 1.2.1 Build 20250821 Rel.82492

ER706W-4G 2.0

CVE-2025-9290

< 2.1.0 Build 20250810 Rel.77020

ER706WP-4G

CVE-2025-9290

< 1.1.0 Build 20250810 Rel.77020

ER703WP-4G-Outdoor

CVE-2025-9290

< 1.1.0 Build 20250822 Rel.08201

DR3220v-4G

CVE-2025-9290

< 1.1.0 Build 20250801 Rel.81473

DR3650v

CVE-2025-9290

< 1.1.0 Build 20250801 Rel.81737

DR3650v-4G

CVE-2025-9290

< 1.1.0 Build 20250801 Rel.81753

ER701-5G-Outdoor

CVE-2025-9290

< 1.0.0 Build 20250826 Rel.68862

ER605W 2.0

CVE-2025-9290

< 2.0.2 Build 20250723 Rel.39048

ER7212PC 2.0

CVE-2025-9290

< 2.2.1 Build 20251027 Rel.75129

FR365

CVE-2025-9290

< 1.1.10 Build 20250626 Rel.81746

G36W-4G

CVE-2025-9290

< 1.1.5 Build 20250710 Rel.62142

アクセスポイント:

 

 

EAP655-Wall v1.0

CVE-2025-9290

< 1.6.2 Build 20251107 Rel. 35700

EAP660 HD v1.0

EAP660 HD v2.0

CVE-2025-9290

< 1.6.1 Build 20251218 Rel. 60476

EAP620 HD v3.0/3.20

EAP620 HD v2.

EAP610-Outdoor v1.0/1.20

EAP610 v1.0

EAP610 v2.0

EAP623-Outdoor HD v1.0

EAP625-Outdoor HD v1.0

CVE-2025-9290

< 1.6.1 Build 20251218 Rel. 60435

EAP772 v2.0

EAP772-Outdoor v1.0

EAP770 v2.0

EAP723 v1.0

CVE-2025-9290

< 1.3.2 Build 20250901 Rel. 52255

EAP773 v1.0

EAP783 v1.0

EAP772 v1.0

CVE-2025-9290

< 1.1.2 Build 20251030 Rel. 58575

EAP787 v1.0

CVE-2025-9290

< 1.1.2 Build 20251013 Rel. 32717

EAP720 v1.0

EAP723 v2.0

EAP725-Wall v1.0

CVE-2025-9290

< 1.1.2 Build 20250901 Rel. 74897

EAP215 Bridge KIT 3.0

EAP211 Bridge KIT 3.0

CVE-2025-9290

<1.1.4 Build 20251112 Rel. 34769

Beam Bridge 5 UR v1.0

CVE-2025-9290

< 1.1.5 Build 20250928 Rel. 68499

EAP603GP-Desktop 1.0

EAP615GP-Wall 1.0/1.20

EAP625GP-Wall 1.0/1.20

EAP610GP-Desktop 1.0/1.20/1.26

CVE-2025-9290

< 1.1.0 Build 20251028 Rel. 81486

EAP650GP-Desktop 1.0

CVE-2025-9290

< 1.0.1 Build 20250819 Rel. 60298

EAP653 v1.0

EAP650-Outdoor v1.0

CVE-2025-9290

< 1.3.3 Build 20251111 Rel. 72627

EAP230-Wall v1.0

EAP235-Wall v1.0

CVE-2025-9290

< 3.3.1 Build 20251203 Rel. 58135

EAP603-Outdoor v1.0

CVE-2025-9290

< 1.5.1 Build 20250917 Rel. 50214

EAP653 UR v1.0

CVE-2025-9290

< 1.4.2 Build 20251208 Rel. 43830

EAP650-Desktop v1.0

CVE-2025-9290

< 1.1.0 Build 20251105 Rel. 50852

EAP615-Wall v1.20

EAP615-Wall v1.0

CVE-2025-9290

<1.5.10 Build 20250903 Rel. 49784

EAP100-Bridge KIT v1.0

CVE-2025-9290

< 1.0.3 Build 20251015 Rel. 62058

推奨事項:

影響を受けるデバイスを使用している場合、以下の対応を強く推奨します。

  1. これらの脆弱性を修正するため、最新のファームウェアへ更新してください。

https://support.omadanetworks.com/jp/download/

  1. ファームウェア更新後、パスワードを変更し、情報漏えいの潜在的なリスクを低減してください。

免責事項:

上記の推奨事項を実施しない場合、本脆弱性に関するリスクは継続します。本通知に記載された推奨対応を実施することで回避可能であった結果について、TP-Link は一切の責任を負いません。

 

このお知らせに対する評価をお聞かせください

本サイトではCookie(クッキー)を使用しています。引き続き本サイトを閲覧した場合、お客様がCookieの使用に同意したものとみなされます。今後表示しない 詳細.

Your Privacy Choices

本サイトではCookie(クッキー)を使用しています。引き続き本サイトを閲覧した場合、お客様がCookieの使用に同意したものとみなされます。今後表示しない 詳細.

Basic Cookies

These cookies are necessary for the website to function and cannot be deactivated in your systems.

TP-Link

SESSION, JSESSIONID, accepted_local_switcher, tp_privacy_banner, tp_privacy_base, tp_privacy_marketing, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

YouTube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Zendesk

OptanonConsent, __cf_bm, __cfruid, _cfuvid, _help_center_session, _pendo___sg__.<container-id>, _pendo_meta.<container-id>, _pendo_visitorId.<container-id>, _zendesk_authenticated, _zendesk_cookie, _zendesk_session, _zendesk_shared_session, ajs_anonymous_id, cf_clearance

Analysis and Marketing Cookies

Analysis cookies enable us to analyze your activities on our website in order to improve and adapt the functionality of our website.

The marketing cookies can be set through our website by our advertising partners in order to create a profile of your interests and to show you relevant advertisements on other websites.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au