MEDIUMCVE-2026-5103CVSS 6.3

Totolink A3300R cstecgi.cgi setUPnPCfg コマンドインジェクション

プラットフォーム

other

コンポーネント

vuln-of-totolink_a3300r

修正版

17.0.1

AI Confidence: highNVDEPSS 2.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5103は、Totolink A3300R 17.0.0cu.557b20221024に存在するコマンドインジェクションの脆弱性です。/cgi-bin/cstecgi.cgiのsetUPnPCfg関数で、enableパラメータを操作することで発生します。この脆弱性により、攻撃者は任意のコマンドを実行する可能性があります。影響を受けるバージョンは17.0.0cu.557b20221024です。修正パッチは現在提供されていません。

影響と攻撃シナリオ

Totolink A3300R ルーターのバージョン 17.0.0cu.557_b20221024 (CVE-2026-5103) に、コマンドインジェクションの脆弱性が発見されました。この脆弱性は、ファイル /cgi-bin/cstecgi.cgi 内の setUPnPCfg 関数に存在します。enable 引数の悪意のある操作により、攻撃者はデバイス上で任意のコマンドを実行できます。この脆弱性の CVSS スコアは 6.3 で、中程度の深刻度レベルを示します。リモートでの悪用が可能であり、これは攻撃者が物理的なアクセスなしにルーターを侵害できることを意味します。エクスプロイトの公開により、標的型攻撃のリスクが大幅に高まります。悪用が成功すると、攻撃者にルーターの制御、内部ネットワークへのアクセス、および接続されたデバイスの潜在的な侵害を与える可能性があります。

悪用の状況

この脆弱性は、setUPnPCfg 関数内の入力検証の不備、特に enable 引数に関連するものです。攻撃者は、/cgi-bin/cstecgi.cgi をターゲットとする悪意のある HTTP リクエストを作成して、システムコマンドを挿入および実行できます。エクスプロイトの公開により、攻撃者の参入障壁が低くなります。根本原因は、ユーザーが提供する入力の適切なサニタイズが欠けていることであり、これによりコマンドインジェクションが可能になります。

リスク対象者翻訳中…

Small and medium-sized businesses (SMBs) and home users relying on the Totolink A3300R router are at significant risk. Organizations with multiple Totolink A3300R routers deployed in their networks face a broader attack surface. Users with exposed routers or those lacking robust network security practices are particularly vulnerable.

検出手順翻訳中…

• linux / server:

journalctl -u cstecgi -g 'command injection'

• generic web:

curl -I 'http://<router_ip>/cgi-bin/cstecgi.cgi?enable=<suspicious_input>' | grep 'HTTP/1.1 500' # Check for error responses indicating command execution failure

攻撃タイムライン

2026-03-30Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

2.16% (84% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントvuln-of-totolink_a3300r

ベンダーTotolink

影響範囲修正版

17.0.0cu.557_b20221024 – 17.0.0cu.557_b2022102417.0.1

弱点分類 (CWE)

CWE-77 CWE-74

タイムライン

予約済み2026-03-29
公開日2026-03-30
EPSS 更新日2026-04-06

未パッチ — 公開から55日経過

緩和策と回避策

現在、Totolink はこの脆弱性に対する公式な修正を提供していません (KEV: いいえ)。最も効果的な軽減策は、ファームウェアのアップデートがリリースされるまで、このルーターの使用を避けることです。一時的な対策として、ルーターからの機密デバイスへのアクセスを制限するためにネットワークをセグメント化することをお勧めします。ルーターの構成で UPnP (Universal Plug and Play) を無効にすると、攻撃対象領域を減らすことができますが、一部のアプリケーションの機能に影響を与える可能性があります。疑わしいアクティビティを監視して、潜在的な攻撃を検出し、対応することもできます。ユーザーは、Totolink からのセキュリティに関するすべての発表に注意し、利用可能になったらファームウェアを更新することを強くお勧めします。

修正方法

コマンドインジェクションの脆弱性を軽減するために、Totolink A3300R ルーターのファームウェアを 17.0.0cu.557_b20221024 以降のバージョンにアップデートしてください。最新のファームウェアバージョンとアップデート手順については、ベンダーの Web サイトを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5103 とは何ですか？（Totolink A3300R Firmware の Command Injection）

コマンドインジェクションは、攻撃者がシステム上で任意のコマンドを実行できるセキュリティ脆弱性です。

Totolink A3300R Firmware の CVE-2026-5103 による影響を受けていますか？

CVE-2026-5103 は、この特定の脆弱性に対する一意の識別子です。

Totolink A3300R Firmware の CVE-2026-5103 を修正するにはどうすればよいですか？

Totolink A3300R をファームウェアバージョン 17.0.0cu.557_b20221024 で使用している場合は、脆弱である可能性があります。

CVE-2026-5103 は積極的に悪用されていますか？

一時的な軽減策として、ネットワークをセグメント化し、UPnP を無効にします。

CVE-2026-5103 に関する Totolink A3300R Firmware の公式アドバイザリはどこで確認できますか？

利用可能な情報によると、Totolink は修正をリリースしていません (KEV: いいえ)。