HIGHCVE-2026-4840CVSS 8.8

Netcore Power 15AX Diagnostic Tool netis.cgi setTools os コマンドインジェクション (OS Command Injection)

プラットフォーム

other

コンポーネント

netcore-power15ax-cve

修正版

3.0.1

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-4840は、Netcore Power 15AXのDiagnostic Tool Interfaceに存在するコマンドインジェクションの脆弱性です。IpAddr引数を操作することで、攻撃者はOSコマンドを注入し、システムを制御する可能性があります。影響を受けるバージョンは3.0.0.6938です。現時点では、この脆弱性に対する公式な修正パッチは提供されていません。

影響と攻撃シナリオ

Netcore Power 15AX デバイスのバージョン 3.0.0.6938 までの脆弱性が発見されました。これは CVE-2026-4840 として知られています。この脆弱性は、診断ツールインターフェースの一部である '/bin/netis.cgi' ファイルの 'setTools' 関数に存在します。攻撃者は、'IpAddr' 引数を操作することで、オペレーティングシステムのコマンドを注入してこの脆弱性を悪用できます。この脆弱性の重大度は高く (CVSS 8.8)、その容易な悪用とデバイスへの不正アクセスにつながる可能性が高いためです。エクスプロイトの公開により、攻撃のリスクが大幅に高まっています。ベンダーはまだ公式な修正プログラムを提供していませんが、このリスクを軽減するための措置を講じることが重要です。

悪用の状況

CVE-2026-4840 は、'/bin/netis.cgi' ファイルの 'setTools' 関数における 'IpAddr' パラメータの操作によって悪用されます。攻撃者は、HTTP リクエストに任意のオペレーティングシステムコマンドを注入できます。エクスプロイトの公開により、限られた技術的スキルを持つ悪意のある攻撃者でも簡単に使用できるようになっています。デバイスは、事前に認証を必要とせずにリモート攻撃に対して脆弱です。ベンダーの対応がないことは、これらのデバイスに対するサポートが不足している可能性を示しており、将来の攻撃に対して脆弱なままになるリスクを高めています。コマンドインジェクションの性質により、攻撃者はデバイスを完全に制御し、接続されているネットワークを侵害する可能性があります。

リスク対象者翻訳中…

Organizations utilizing Netcore Power 15AX devices in industrial control systems, power management networks, or any environment where remote access is enabled are at significant risk. Specifically, deployments with weak network segmentation or lacking WAF protection are particularly vulnerable. Shared hosting environments where multiple customers share the same device also face increased exposure.

検出手順翻訳中…

• linux / server:

journalctl -u netis -g "command injection"

• generic web:

curl -I http://<device_ip>/bin/netis.cgi?IpAddr="; whoami > /tmp/output.txt;"

• generic web:

grep -r "IpAddr=.*;" /var/log/apache2/access.log

攻撃タイムライン

2026-03-26Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート5 件の脅威レポート

EPSS

0.20% (42% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントnetcore-power15ax-cve

ベンダーNetcore

影響範囲修正版

3.0.0.6938 – 3.0.0.69383.0.1

弱点分類 (CWE)

CWE-78 CWE-77

タイムライン

予約済み2026-03-25
公開日2026-03-26
更新日2026-03-30
EPSS 更新日2026-04-02

未パッチ — 公開から59日経過

緩和策と回避策

ベンダーが CVE-2026-4840 のためのパッチ (修正) をリリースしていないため、軽減策のオプションは限られており、攻撃対象領域を削減することに重点を置く必要があります。Netcore Power 15AX デバイスを重要なシステムから分離するために、ネットワークセグメンテーションを強く推奨します。信頼できるソースからの '/bin/netis.cgi' へのアクセスのみを制限するための厳格なファイアウォールルールを実装することが不可欠です。コマンドインジェクションに関連する疑わしいパターンを監視することで、潜在的な攻撃を検出し、対応するのに役立ちます。可能であれば、利用可能なセキュリティパッチを備えたより安全なモデルで影響を受けるデバイスを置き換えることを検討してください。ベンダーの対応がないことは、これらの予防措置の重要性を強調しています。

修正方法

Netcore Power 15AX のファームウェアをバージョン 3.0.0.6938 より後のバージョンにアップデートしてください (利用可能な場合)。コマンドインジェクション (Command Injection) の脆弱性を修正するパッチまたはアップデートされたファームウェアバージョンを入手するために、ベンダーに連絡してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4840 とは何ですか？（Netcore Power 15AX Diagnostic Tool の Command Injection）

これはこのセキュリティ脆弱性のためのユニークな識別子です。

Netcore Power 15AX Diagnostic Tool の CVE-2026-4840 による影響を受けていますか？

バージョン 3.0.0.6938 までのファームウェアを搭載した Netcore Power 15AX デバイスです。

Netcore Power 15AX Diagnostic Tool の CVE-2026-4840 を修正するにはどうすればよいですか？

ネットワークセグメンテーション、厳格なファイアウォールルール、およびネットワークトラフィックの監視を実装してください。

CVE-2026-4840 は積極的に悪用されていますか？

いいえ、ベンダーは現時点では修正プログラム (修正) を提供していません。

CVE-2026-4840 に関する Netcore Power 15AX Diagnostic Tool の公式アドバイザリはどこで確認できますか？

より安全なデバイスに置き換えるか、推奨される軽減策を実装することを検討してください。