つみかさね

CVE-2026-12174

High(8.8)

CVE-2026-12174 — D-Link DCS-935L フォーマット文字列脆弱性

公開日: 2026-06-15データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
DCS-935LD-Linkファームウェア 1.10.01(EOL)

対応ガイド

high|推奨セキュリティ修正影響: 最小限

推奨アクション

  1. 1D-Link DCS-935L の使用有無を確認する
  2. 2使用中の場合はインターネット接続・外部ネットワークからのアクセスを遮断する
  3. 3信頼できるネットワークセグメントへの隔離を実施する
  4. 4後継機種へのリプレースを検討する

影響対象

D-Link DCS-935L ファームウェア 1.10.01 利用者

補足

  • -EOL 機器のため公式パッチは提供されない
  • -PoC が公開されているため悪用リスクが高い
CVED-LinkIoTフォーマット文字列CWE-134EOL機器

概要

D-Link DCS-935L ネットワークカメラ(ファームウェア 1.10.01)の HTTP ハンドラコンポーネントにフォーマット文字列脆弱性が存在します。

/web/cgi-bin/greece/rhea の CGI ハンドラ内で使用される snprintf 関数が、data 引数の値を書式指定文字列として処理してしまいます。攻撃者はこれを利用して任意の書き込みが可能となり、最終的に任意コードの実行につながる可能性があります。

PoC(概念実証コード)が公開されており、リモートから認証なしで攻撃が可能です。D-Link DCS-935L は生産終了(EOL)機器であり、公式セキュリティパッチの提供は期待できません。

CVSSベクトル

項目
スコア8.8(High)
攻撃経路(AV)ネットワーク(N)
攻撃の複雑さ(AC)低(L)
権限要件(PR)低(L)
ユーザー操作(UI)不要(N)
スコープ(S)変更あり(C)
機密性への影響(C)高(H)
完全性への影響(I)高(H)
可用性への影響(A)高(H)
CWECWE-119(バッファ操作の不適切な制限)、CWE-134(フォーマット文字列の外部制御)

影響を受けるソフトウェア

製品ベンダー影響バージョン
DCS-935LD-Linkファームウェア 1.10.01(EOL機器)

修正バージョンと回避策

公式パッチは提供されません(EOL 機器のため)。

推奨対応:

  1. D-Link DCS-935L をネットワークから切断する、またはインターネットアクセスを遮断する
  2. 信頼できるネットワークセグメントへの隔離を実施する
  3. 可能であれば、サポート中の後継機種へのリプレースを検討する

関連リンク

データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-12174
VulDB:https://vuldb.com/vuln/370815
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。