まえがき

VIGI NVR に、OSコマンドインジェクション脆弱性が存在すると公表されました。
対象機器をご利用の方は、至急対象機器か否かをご確認のうえ、対応をご検討ください。

なお、日本法人サイト、ティーピーリンクジャパン株式会社のWebサイトには公開されておりませんので、英語情報でのご案内になります。
対処方法はファームウェアを更新するだけですので簡単です。

脆弱性の説明

VIGI NVR1104H-4P V1およびVIGI NVR2016H-16MP V2には、認証済みおよび認証なしのOSコマンドインジェクション脆弱性が存在します。この問題は、VIGI NVR1104H-4P V1（1.1.5ビルド250518以前）およびVIGI NVR2016H-16MP V2（1.3.1ビルド250407以前）に影響します。

攻撃者は、デバイスの基盤となるオペレーティング システム上で任意のコマンドを実行する可能性があります。

影響を受ける製品/バージョン

VIGI NVR1104H-4P V1 　　1.1.5 ビルド 250518未満（250518はOK）
VIGI NVR2016H-16MP V2　　1.3.1 ビルド 250407未満（250407はOK）

情報源

Statement on authenticated and unauthenticated command injection on VIGI NVR1104H-4P V1 and VIGI NVR2016H-16MP V2 (CVE-2025-7723 and CVE-2025-7724)
https://www.tp-link.com/us/support/faq/4547/

CVE-2025-7723 Detail
https://nvd.nist.gov/vuln/detail/CVE-2025-7723