CRITICALCVE-2026-6113CVSS 9.8

Totolink A7100RU CGI cstecgi.cgi setTtyServiceCfg osコマンドインジェクション

プラットフォーム

linux

コンポーネント

totolink-a7100ru

修正版

7.4.1

AI Confidence: highNVDEPSS 1.3%レビュー済み: 2026年5月

NVDで見る

保存

Totolink A7100RU のバージョン 7.4cu.2313_b20191024 には、CGI Handler の setTtyServiceCfg 関数においてコマンドインジェクションの脆弱性が存在します。この脆弱性は、悪意のあるユーザーが ttyEnable 引数を操作することで、OS コマンドを不正に実行できる可能性があります。リモートからの攻撃が可能であり、エクスプロイトが公開されているため、早急な対応が必要です。現時点では公式な修正パッチは提供されていません。

影響と攻撃シナリオ

Totolink A7100RU ルーターのバージョン 7.4cu.2313_b20191024 に、オペレーティングシステムコマンドインジェクション (OS) の重大な脆弱性が検出されました。この脆弱性は、ファイル /cgi-bin/cstecgi.cgi の関数 setTtyServiceCfg、特に ttyEnable 引数の処理に存在します。リモートの攻撃者は、この引数を操作することで、デバイス上で任意のコマンドを実行できます。この脆弱性の重大度は、その容易な悪用、必要なリモートアクセス、およびメーカーからの公式な修正プログラムの欠如により、非常に高い (CVSS 9.8) と評価されています。エクスプロイトの公開により、攻撃のリスクが大幅に高まります。

悪用の状況

この脆弱性は、ファイル /cgi-bin/cstecgi.cgi に送信されるリクエスト内の ttyEnable 引数を操作することで悪用されます。攻撃者は、この引数内にオペレーティングシステムのコマンドを挿入し、ルーターがそれらのコマンドを実行します。エクスプロイトの公開により、この脆弱性を悪用するためのツールと技術が広く利用可能になり、さまざまなスキルレベルの攻撃者がそれらを使用しやすくなります。ネットワークデバイスとして、ルーターは接続されているホームネットワークまたはビジネスネットワーク全体を侵害するための入り口となる可能性があります。

リスク対象者翻訳中…

Small and medium-sized businesses (SMBs) and home users who rely on the Totolink A7100RU router for their network connectivity are at significant risk. Organizations with multiple Totolink A7100RU routers deployed in their network are particularly vulnerable, as a single compromised router could provide a foothold for attackers to access the entire network. Users with exposed routers or weak firewall configurations are also at increased risk.

検出手順翻訳中…

• linux / server:

journalctl -u cgi-bin -g 'ttyEnable'

• linux / server:

ps aux | grep cstecgi.cgi

• generic web:

curl -I http://<router_ip>/cgi-bin/cstecgi.cgi?ttyEnable=<malicious_input>

攻撃タイムライン

2026-04-12Disclosure
disclosure
2026-04-12PoC
poc

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート4 件の脅威レポート

EPSS

1.25% (79% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントtotolink-a7100ru

ベンダーTotolink

影響範囲修正版

7.4cu.2313_b20191024 – 7.4cu.2313_b201910247.4.1

弱点分類 (CWE)

CWE-78 CWE-77

タイムライン

予約済み2026-04-11
公開日2026-04-12
更新日2026-04-14
EPSS 更新日2026-04-19

未パッチ — 公開から42日経過

緩和策と回避策

現在、Totolink からこの脆弱性に対する公式な修正プログラムは提供されていません。最も効果的な軽減策は、セキュリティアップデートがリリースされるまで、Totolink A7100RU ルーターのバージョン 7.4cu.2313_b20191024 の使用を避けることです。デバイスの使用が不可欠な場合は、ネットワークセグメンテーション、リモートアクセスの制限、および疑わしいアクティビティに対するネットワークトラフィックの監視など、追加のセキュリティ対策を実装することをお勧めします。Totolink のセキュリティアナウンスメントを常に把握し、利用可能になり次第ファームウェアを更新することが重要です。より安全なモデルへのデバイスの交換を検討することは、長期的な実行可能なオプションです。

修正方法翻訳中…

Actualice el firmware del dispositivo Totolink A7100RU a una versión corregida que solucione la vulnerabilidad de inyección de comandos del sistema operativo. Consulte el sitio web oficial de Totolink para obtener las últimas actualizaciones de firmware.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-6113 とは何ですか？（Totolink A7100RU の Command Injection）

CVSS 9.8 は、非常に高い確率で悪用され、重大な損害を引き起こす可能性がある、重大度の高い脆弱性を示します。

Totolink A7100RU の CVE-2026-6113 による影響を受けていますか？

これは、攻撃者が入力を操作することで、オペレーティングシステム上で任意のコマンドを実行する技術です。

Totolink A7100RU の CVE-2026-6113 を修正するにはどうすればよいですか？

現在、公式な解決策はありません。軽減策には、ネットワークセグメンテーションとトラフィックの監視が含まれます。

CVE-2026-6113 は積極的に悪用されていますか？

可能であれば、Totolink がアップデートをリリースするまで、より安全なモデルにルーターを交換することをお勧めします。

CVE-2026-6113 に関する Totolink A7100RU の公式アドバイザリはどこで確認できますか？

CVE (Common Vulnerabilities and Exposures) データベースを参照して、CVE-2026-6113 に関する詳細情報を入手してください。