HIGHCVE-2026-5692CVSS 7.3

Totolink A7100RU cstecgi.cgi setGameSpeedCfg OSコマンドインジェクション

プラットフォーム

linux

コンポーネント

totolink-a7100ru

修正版

7.4.1

AI Confidence: highNVDEPSS 4.9%レビュー済み: 2026年5月

NVDで見る

保存

Totolink A7100RUのバージョン7.4cu.2313_b20191024において、/cgi-bin/cstecgi.cgiのsetGameSpeedCfg関数におけるコマンドインジェクションの脆弱性が存在します。この脆弱性を悪用されると、攻撃者はOSコマンドを不正に実行し、システムを制御できる可能性があります。エクスプロイトが公開されており、悪用される可能性があります。

影響と攻撃シナリオ

Totolink A7100RUルーター（バージョン7.4cu.2313_b20191024）に、コマンドインジェクションの脆弱性が発見されました。具体的には、/cgi-bin/cstecgi.cgiファイル内のsetGameSpeedCfg関数が影響を受けます。リモートの攻撃者は、enable引数を操作して、デバイス上で任意のオペレーティングシステムコマンドを実行できます。この脆弱性のCVSSスコアは7.3で、中程度から高いリスクを示します。エクスプロイトが公開されているという事実は、悪意のある攻撃者が脆弱性を悪用するための利用しやすい情報が得られるため、リスクを大幅に高めます。これにより、攻撃者はルーターを侵害し、内部ネットワークにアクセスし、機密データを盗んだり、サービスを中断したりする可能性があります。

悪用の状況

この脆弱性は、/cgi-bin/cstecgi.cgiファイル内のsetGameSpeedCfg関数にあります。攻撃者は、ルーターに悪意のあるHTTPリクエストを送信し、enable引数を操作してオペレーティングシステムのコマンドを含めることで、この脆弱性を悪用できます。これらのコマンドの実行が成功すると、攻撃者はルーターの制御権を奪うことができます。エクスプロイトが公開されているということは、攻撃者が脆弱性を悪用する方法に関する詳細情報にアクセスできることを意味し、攻撃のリスクが高まります。このエクスプロイトの性質はリモートであるため、攻撃者はインターネットアクセスがあればどこからでも攻撃を開始できます。

リスク対象者翻訳中…

Home and small business users who rely on the Totolink A7100RU router for their internet connectivity are at significant risk. Networks with older, unpatched routers are particularly vulnerable. Shared hosting environments utilizing these routers for network access also face increased exposure.

検出手順翻訳中…

• linux / server:

journalctl -u totolink -g 'cstecgi.cgi'

• linux / server:

ps aux | grep cstecgi.cgi

• generic web:

curl -I http://<router_ip>/cgi-bin/cstecgi.cgi?enable=<malicious_command>

攻撃タイムライン

2026-04-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

4.86% (90% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントtotolink-a7100ru

ベンダーTotolink

影響範囲修正版

7.4cu.2313_b20191024 – 7.4cu.2313_b201910247.4.1

弱点分類 (CWE)

CWE-78 CWE-77

タイムライン

予約済み2026-04-06
公開日2026-04-06
更新日2026-04-07
EPSS 更新日2026-04-14

未パッチ — 公開から48日経過

緩和策と回避策

現在、Totolinkは、この脆弱性に対する公式な修正プログラムを提供していません。最も効果的な軽減策は、セキュリティアップデートがリリースされるまで、Totolink A7100RUルーターバージョン7.4cu.2313_b20191024の使用を避けることです。ルーターの使用が避けられない場合は、メインネットワークから分離し、侵害の兆候がないかアクティビティを監視してください。さらに、ルーターのデフォルトパスワードを変更し、攻撃対象領域を拡大する可能性のある不要な機能を無効にしてください。Totolinkからのセキュリティに関する発表に注意し、利用可能になったらアップデートを適用してください。

修正方法翻訳中…

Actualice el firmware del router Totolink A7100RU a una versión corregida. Consulte el sitio web oficial de Totolink para obtener la última versión del firmware y las instrucciones de actualización.  Esta vulnerabilidad permite la ejecución remota de comandos, por lo que es crucial aplicar la actualización lo antes posible para mitigar el riesgo.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5692 とは何ですか？（Totolink A7100RU Router の Command Injection）

CVSSスコア7.3は、中程度から高いリスクレベルを示します。これは、脆弱性の重大度を測定するための標準的な尺度です。

Totolink A7100RU Router の CVE-2026-5692 による影響を受けていますか？

利用可能になったら、ルーターのより安全なファームウェアバージョンにアップデートすることを強くお勧めします。それまでの間、ルーターをメインネットワークから分離してください。

Totolink A7100RU Router の CVE-2026-5692 を修正するにはどうすればよいですか？

予期しないネットワークトラフィックや構成の変更など、ルーターの異常なアクティビティを監視してください。セキュリティ監査を検討してください。

CVE-2026-5692 は積極的に悪用されていますか？

提供された情報によると、関連するKEV（Key Event）がないため、Totolinkがこの脆弱性を公式に認識していないか、警告を発していない可能性があります。

CVE-2026-5692 に関する Totolink A7100RU Router の公式アドバイザリはどこで確認できますか？

ネットワークデバイスのファームウェアを最新の状態に保ち、強力なパスワードを使用し、不要な機能を無効にしてください。