MEDIUMCVE-2026-5020CVSS 6.3

Totolink A3600R Parameter cstecgi.cgi setNoticeCfg コマンドインジェクション (command injection)

プラットフォーム

other

コンポーネント

totolink-a3600r-firmware

修正版

4.1.3

AI Confidence: highNVDEPSS 1.6%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5020 は、Totolink A3600R に存在するコマンドインジェクションの脆弱性です。この脆弱性は、/cgi-bin/cstecgi.cgi ファイル内の setNoticeCfg 関数に影響を与えます。NoticeUrl の操作が原因で、攻撃者は任意のコマンドを実行できる可能性があります。影響を受けるバージョンは 4.1.2cu.5182B20201102–4.1.2cu.5182B20201102 です。現時点では公式な修正パッチは提供されていません。

影響と攻撃シナリオ

Totolink A3600Rルーター（バージョン4.1.2cu.5182_B20201102）に重大な脆弱性が検出されました。この脆弱性は、ファイル/cgi-bin/cstecgi.cgi内のsetNoticeCfg関数に存在します。攻撃者はNoticeUrl引数を操作して、デバイス上で任意のコマンドを挿入および実行できます。この脆弱性の深刻度はCVSS 6.3と評価されており、中程度から高のリスクを示しています。この脆弱性はリモートで悪用できるため、攻撃者はネットワークアクセスがある場所からこの脆弱性を悪用できます。特に懸念されるのは、このエクスプロイトが現在公開されており、攻撃のリスクが大幅に高まっていることです。

悪用の状況

この脆弱性は、ルーターが通知URL（NoticeUrl）を処理する方法に起因します。攻撃者はこのURLに悪意のあるコマンドを挿入し、ルーターがそれらのコマンドを実行します。エクスプロイトの公開により、限られた技術的専門知識を持つユーザーでも、この脆弱性を悪用するプロセスが大幅に簡素化されます。ファイル/cgi-bin/cstecgi.cgiは、通知構成を管理するCGIスクリプトであり、適切な入力検証の欠如により、コマンドインジェクションが可能になります。攻撃者は、この脆弱性を悪用して、ルーターへの不正アクセスを取得したり、機密情報を盗んだり、デバイスの完全な制御を奪ったりする可能性があります。

リスク対象者翻訳中…

Small and medium-sized businesses (SMBs) and home users relying on the Totolink A3600R router are at significant risk. Shared hosting environments where multiple users share the same router infrastructure are particularly vulnerable, as a single compromised router can impact all hosted services. Users with legacy configurations or those who have not regularly updated their router firmware are also at increased risk.

検出手順翻訳中…

• linux / server:

journalctl -u cstecgi | grep -i "NoticeUrl"

• generic web:

curl -s -X POST "http://<router_ip>/cgi-bin/cstecgi.cgi?NoticeUrl=<malicious_payload>" | grep -i "<malicious_payload>"

攻撃タイムライン

2026-03-29Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.55% (81% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントtotolink-a3600r-firmware

ベンダーTotolink

影響範囲修正版

4.1.2cu.5182_B20201102 – 4.1.2cu.5182_B202011024.1.3

弱点分類 (CWE)

CWE-77 CWE-74

タイムライン

予約済み2026-03-27
公開日2026-03-29
更新日2026-04-01
EPSS 更新日2026-04-04

未パッチ — 公開から56日経過

緩和策と回避策

現在、Totolinkは、この脆弱性に対する修正プログラムをリリースしていません。最も迅速かつ効果的な軽減策は、利用可能な場合は、ルーターのファームウェアを最新バージョンに更新することです。更新プログラムが利用できない場合は、ルーターをパブリックネットワークから隔離し、ローカルネットワーク内の信頼できるデバイスへのアクセスのみを制限することをお勧めします。/cgi-bin/cstecgi.cgiファイルへの不正アクセスをブロックするために、厳格なファイアウォールルールを実装することを検討してください。ネットワークを監視して疑わしいアクティビティを検出し、Totolinkからの修正プログラムに関する公式発表に注意してください。公式のパッチがないため、この脆弱性は特に懸念されるため、迅速な対応が必要です。

修正方法

Totolink A3600R ルーターのファームウェアを、4.1.2cu.5182_B20201102 以降のバージョンにアップデートして、コマンドインジェクションの脆弱性を修正してください。最新のファームウェアバージョンとアップデート手順については、ベンダーの Web サイトを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5020 とは何ですか？（Totolink A3600R Firmware の Command Injection）

コマンドインジェクションにより、攻撃者は脆弱なシステム上で任意のコマンドを実行できます。

Totolink A3600R Firmware の CVE-2026-5020 による影響を受けていますか？

Totolink A3600Rでファームウェアバージョン4.1.2cu.5182_B20201102を使用している場合は、影響を受けている可能性があります。

Totolink A3600R Firmware の CVE-2026-5020 を修正するにはどうすればよいですか？

ルーターをパブリックネットワークから隔離し、ファイアウォールルールを実装することを検討してください。

CVE-2026-5020 は積極的に悪用されていますか？

現在、解決策はありませんが、Totolinkからの公式発表に注意してください。

CVE-2026-5020 に関する Totolink A3600R Firmware の公式アドバイザリはどこで確認できますか？

解決策がリリースされるまで、注意を払い、記載されている軽減策を適用してください。