独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月5日、複数のTP-LINK製品における重要情報の平文送信の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。合同会社エルプラスのeyegrep氏とizurina氏が報告を行っている。影響を受けるシステムは以下の通り。
・Tapo L535E hardware version v3.0 region EU / US
ファームウェア 1.4.1 Build 251016 Rel.204554より前のバージョン
・Tapo L535E hardware version v1.0 region JP
ファームウェア 1.4.1 Build 251016 Rel.204554より前のバージョン
・Tapo P300 hardware version v1.0 region EU
ファームウェア 1.4.2 Build 251219 Rel.142654より前のバージョン
・Tapo P300 hardware version v1.0 region JP
ファームウェア 1.4.0 Build 260416 Rel.014037より前のバージョン
・Tapo D100C hardware version v1.0 region EU / JP / US
ファームウェア 1.3.1 Build 260421 Rel.031658より前のバージョン
※D100Cは、Tapoカメラに同梱されているチャイムで、下記のTapo製品にも同梱されている。
D130、D210、D235、D225、TD21、TDB21およびTD25
TP-Link Systems Inc.が提供する複数の製品には、重要情報の平文送信の脆弱性(CVE-2026-34126)が存在し、中間者攻撃(man-in-the-middle attack)やBluetoothスニッフィングによって、第三者に通信内容を傍受、改ざんされたり、初期化中にデバイスを不正に制御されたりする可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
