プラットフォーム
linux
コンポーネント
voltronic-power-snmp-web-pro
修正版
1.1.1
Voltronic Power SNMP Web Proのバージョン1.1に、認証不要のパス・トラバーサル脆弱性が存在します。この脆弱性は、upload.cgiエンドポイントのparamsパラメータを悪用することで、攻撃者がファイルシステム上の任意のファイルを読み取れる可能性があります。影響を受けるバージョンは1.1です。修正版としてバージョン7.6.47がリリースされています。
このパス・トラバーサル脆弱性を悪用すると、攻撃者は認証なしでVoltronic Power SNMP Web Proデバイス上の機密ファイルにアクセスできます。具体的には、パスワードハッシュファイルが漏洩する可能性があり、オフラインでのブルートフォース攻撃によってルート権限を取得されるリスクがあります。これにより、デバイスの完全な制御を奪われ、設定の変更、データの改ざん、さらにはネットワークへの不正アクセスといった深刻な被害が発生する可能性があります。この脆弱性は、類似のファイルアクセス脆弱性と共通の攻撃パターンを持ち、デバイスのセキュリティを著しく低下させます。
このCVEは2026年3月13日に公開されました。現時点では、この脆弱性を悪用する公開PoCは確認されていませんが、パス・トラバーサル脆弱性であるため、PoCの公開や悪用事例の出現には注意が必要です。CISA KEVリストへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認することを推奨します。
Organizations utilizing Voltronic Power SNMP Web Pro version 1.1 for network management are at risk. This includes deployments in industrial control systems (ICS) and building automation systems where SNMP is commonly used for device monitoring and configuration. Shared hosting environments that utilize this software are particularly vulnerable due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u snmpwebpro | grep -i "upload.cgi"• linux / server:
lsof | grep upload.cgi | grep /tmp• generic web:
curl -I 'http://<target_ip>/upload.cgi?params=../../../../etc/passwd' # Check for 200 OK response indicating file accessdisclosure
エクスプロイト状況
EPSS
0.04% (10% パーセンタイル)
CISA SSVC
CVSS ベクトル
まず、Voltronic Power SNMP Web Proをバージョン7.6.47にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、upload.cgiエンドポイントへのアクセスをWAFまたはプロキシサーバーで制限するルールを実装してください。具体的には、ディレクトリトラバーサルシーケンス(例:../)を含むリクエストをブロックするルールを追加します。また、ファイルアップロード機能を使用しない場合は、一時的に無効化することも有効です。アップデート後、デバイスにログインし、ファイルシステム上の機密ファイルが保護されていることを確認してください。
Actualice el dispositivo a una versión corregida proporcionada por Voltronic Power. Verifique el sitio web oficial de Voltronic Power o contacte con su soporte técnico para obtener información sobre las actualizaciones disponibles. Como medida temporal, desactive la funcionalidad de carga de archivos hasta que se pueda aplicar una actualización.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-22199は、Voltronic Power SNMP Web Proバージョン1.1のupload.cgiエンドポイントにおける認証不要のパス・トラバーサル脆弱性です。攻撃者はディレクトリトラバーサルシーケンスを注入することで、ファイルシステム上の任意のファイルを読み取ることができます。
Voltronic Power SNMP Web Proのバージョンが1.1である場合、この脆弱性の影響を受ける可能性があります。バージョン7.6.47以降にアップデートしてください。
Voltronic Power SNMP Web Proをバージョン7.6.47にアップデートしてください。アップデートができない場合は、WAFまたはプロキシサーバーでupload.cgiエンドポイントへのアクセスを制限するルールを実装してください。
現時点では、この脆弱性を悪用する公開PoCは確認されていませんが、パス・トラバーサル脆弱性であるため、悪用事例の出現には注意が必要です。
Voltronic Powerの公式ウェブサイトまたはセキュリティアドバイザリページで、CVE-2026-22199に関する情報を確認してください。