プラットフォーム
linux
コンポーネント
totolink-a7100ru
修正版
7.4.1
CVE-2026-5689 は、Totolink A7100RU ルーターのバージョン 7.4cu.2313_b20191024 に存在するコマンドインジェクションの脆弱性です。この脆弱性は、/cgi-bin/cstecgi.cgi ファイル内の setNtpCfg 関数における 'tz' 引数の操作によって、OS コマンドの実行を可能にします。攻撃はリモートから実行可能であり、悪用される可能性があります。現時点では修正プログラムは公開されていません。
Totolink A7100RUルーター(バージョン7.4cu.2313_b20191024)において、コマンドインジェクションの脆弱性が検出されました。この脆弱性は、/cgi-bin/cstecgi.cgiファイルのsetNtpCfg関数内に存在します。攻撃者は、tz引数を操作することで、この欠陥を悪用し、デバイス上で任意のオペレーティングシステムコマンドを実行できます。この脆弱性の深刻度はCVSSスケールで7.3と評価されており、中程度の高いリスクを示しています。エクスプロイトの公開は状況を悪化させ、悪意のある攻撃者がそれを利用しやすくなります。公式な修正プログラム(fix: none)がないため、ユーザーはリスクを軽減するために積極的な予防措置を講じる必要があります。
CVE-2026-5689は、Totolink A7100RUでリモートコード実行を可能にします。攻撃者は、/cgi-bin/cstecgi.cgiに特別に作成されたHTTPリクエストを送信し、tzパラメータを操作してオペレーティングシステムコマンドを挿入できます。これらのコマンドは、ルーターのWebプロセスの権限で実行され、攻撃者がデバイスを完全に制御できるようになる可能性があります。エクスプロイトの公開により、攻撃者はこの脆弱性を悪用するための実績のあるツールを手に入れ、標的型攻撃のリスクが大幅に高まります。setNtpCfg関数内の適切な認証の欠如が、この脆弱性の根本原因です。
エクスプロイト状況
EPSS
4.86% (90% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性を修正するための公式なパッチが存在しないため、Totolink A7100RUバージョン7.4cu.2313_b20191024を使用しているユーザーは、ネットワークを保護するために直ちに措置を講じるよう強く推奨されます。これらの措置には、ルーターのデフォルトパスワードを強力で一意のパスワードに変更すること、必要な場合に限り、ルーターの管理インターフェースへのリモートアクセスを無効にすること、ネットワークアクティビティを侵入の兆候がないか監視することが含まれます。長期的なオプションとして、セキュリティサポートが更新されたモデルでルーターを置き換えることを検討してください。パッチがないため、軽減策はより複雑になり、堅牢なセキュリティプラクティスに依存することになります。
Actualice el firmware del router Totolink A7100RU a una versión corregida por el fabricante. Consulte el sitio web de Totolink o contacte con el soporte técnico para obtener la última versión disponible. Esta vulnerabilidad permite la ejecución remota de código, por lo que es crucial aplicar la actualización lo antes posible.
脆弱性分析と重要アラートをメールでお届けします。
これはこの脆弱性のためのユニークな識別子であり、セキュリティレポートで追跡および参照するために使用されます。
これは、攻撃者がデバイスの基盤となるオペレーティングシステム上で任意のコマンドを実行できる脆弱性の種類です。
推奨される軽減策を実施してください。たとえば、パスワードを変更し、リモートアクセスを無効にします。より安全なファームウェアにアップグレードするか、ルーターを置き換えることを検討してください。
現在、Totolinkからの公式な修正プログラムはありません(fix: none)。
KEVは「Knowledge Environment Vulnerability」を意味します。この場合、この脆弱性に対する特定の知識環境がないことを示します。