プラットフォーム
linux
コンポーネント
totolink-a7100ru
修正版
7.4.1
Totolink A7100RU の CGI Handler に、enable 引数に対するコマンドインジェクションの脆弱性が存在します。この脆弱性は、攻撃者がシステム上で任意のOSコマンドを実行することを可能にし、機密情報の漏洩やシステムの制御権奪取につながる可能性があります。影響を受けるバージョンは 7.4cu.2313b20191024–7.4cu.2313b20191024 です。現時点では公式なパッチは提供されていません。
Totolink A7100RU ルーターのバージョン 7.4cu.2313_b20191024 (CVE-2026-5851) に、重大なセキュリティ脆弱性が発見されました。この脆弱性は、CGI Handler のコンポーネントである /cgi-bin/cstecgi.cgi ファイルの setUPnPCfg 関数に存在します。攻撃者は、enable 引数を操作することで、この脆弱性をリモートで悪用し、オペレーティングシステムのコマンドインジェクションを引き起こす可能性があります。脆弱性の深刻度は非常に高く (CVSS 9.8)、リモートでの悪用が容易であり、デバイスおよび接続されているネットワークへの不正アクセスにつながる可能性があるためです。エクスプロイトの公開により、悪意のある攻撃者が攻撃を容易に開始できるようになり、リスクがさらに悪化しています。
この脆弱性は、/cgi-bin/cstecgi.cgi ファイルにあり、特に setUPnPCfg 関数内にあります。enable 引数はコマンドインジェクションに対して脆弱です。攻撃者は、ルーターに悪意のある HTTP リクエストを送信し、この引数を操作して、基盤となるオペレーティングシステム上で任意のコマンドを実行できます。エクスプロイトのリモート性、およびエクスプロイトの公開された可用性は、Totolink A7100RU ユーザーにとってこの脆弱性を重大なリスクにしています。公式の修正プログラムがないため、軽減策を実施する必要性が高まっています。
エクスプロイト状況
EPSS
1.25% (79% パーセンタイル)
CISA SSVC
現在、Totolink からこの脆弱性に対する公式の修正プログラムは提供されていません。主な推奨事項は、利用可能な場合は、ルーターのファームウェアを最新バージョンに更新することです。アップデートが利用できない場合は、ルーターをパブリックネットワークから隔離し、信頼できるデバイスへのアクセスのみを制限することをお勧めします。/cgi-bin/cstecgi.cgi ファイルへの外部アクセスをブロックする厳格なファイアウォールルールを実装することで、リスクを軽減できますが、完全な解決策ではありません。疑わしいアクティビティがないかネットワークを監視することが重要です。より強力なセキュリティ実績と定期的なファームウェアアップデートを備えたモデルでルーターを置き換えることを検討してください。
Actualice el firmware del dispositivo Totolink A7100RU a una versión corregida por el fabricante. Consulte el sitio web oficial de Totolink para obtener la última versión de firmware y las instrucciones de actualización.
脆弱性分析と重要アラートをメールでお届けします。
これは、このセキュリティ脆弱性を追跡および参照しやすくするために使用される一意の識別子です。
これは、攻撃者が脆弱なデバイスのオペレーティングシステム上で任意のコマンドを実行できる攻撃技術です。
ルーターをインターネットから隔離し、信頼できるデバイスへのアクセスのみを制限してください。厳格なファイアウォールルールを実装してください。
現在、特定のツールはありませんが、ネットワークを不審なアクティビティがないか監視することは役立ちます。
公式の解決策はまだ発表されていません。Totolink のウェブサイトを監視してください。
CVSS ベクトル