JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-009889 寛容なWebセキュリティ設定により、特定の状況下で最新のブラウザが強制するクロスオリジン制限を回避できる可能性があります。悪用するためには、既存のクライアントサイドインジェクション脆弱性が存在し、影響を受けるWebインターフェースへのユーザーアクセスが必要です。悪用に成功すると、機密情報が不正に開示される可能性があります。この問題は、TP-Linkが自動的に展開する更新済みのOmada Cloud Controllerサービスのバージョンで修正されています。そのため、ユーザー側での対応は不要です。 cpe:/a:tp-link:aginet cpe:/a:tp-link:deco cpe:/a:tp-link:festa cpe:/a:tp-link:kasa cpe:/a:tp-link:kidshield cpe:/a:tp-link:omada cpe:/a:tp-link:omada_guard cpe:/a:tp-link:tapo cpe:/a:tp-link:tether cpe:/a:tp-link:tp-partner cpe:/a:tp-link:tpcamera cpe:/a:tp-link:vigi cpe:/a:tp-link:wi-fi_navi cpe:/a:tp-link:wifi_toolkit https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-009889.html Common Vulnerabilities and Exposures (CVE) CVE-2025-9292 https://www.cve.org/CVERecord?id=CVE-2025-9292 National Vulnerability Database (NVD) CVE-2025-9292 https://nvd.nist.gov/vuln/detail/CVE-2025-9292 JVNDB CWE-942 https://cwe.mitre.org/data/definitions/942.html Omada Security Advisory on Permissive Web Security Policy Allows Cross-Origin Access Control Bypass on Omada Cloud Controllers and Insufficient Certificate Validation in Multiple Mobile Applications Allows Man in the Middle Interception (CVE-2025-9292 and CVE-2 https://www.omadanetworks.com/us/support/faq/4969/ TP-Link Security Advisory on Permissive Web Security Policy Allows Cross-Origin Access Control Bypass on Omada Cloud Controllers and Insufficient Certificate Validation in Multiple Mobile Applications Allows Man in the Middle Interception (CVE-2025-9292 and CVE-2 https://www.tp-link.com/us/support/faq/4969/ 2026-04-03T11:20:10+09:00 2026-04-03T11:20:10+09:00