つみかさね

CVE-2026-34005

High(8.8)

CVE-2026-34005 — Xiongmai DVR/NVR OSコマンドインジェクション

公開日: 2026-03-30データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
AHB7008T-MH-V2Xiongmai4.03.R11
NBD7024H-PXiongmai4.03.R11
CVEXiongmaiDVRNVRコマンドインジェクションIoT

概要

Xiongmai製DVR/NVR(AHB7008T-MH-V2、NBD7024H-P等、ファームウェア4.03.R11)において、HostName値にシェルメタ文字を含めることでroot権限でのOSコマンドインジェクションが可能な脆弱性です。認証済みのDVRIPプロトコル(TCPポート34567)を経由して攻撃が行われます。

CVSSベクトル

項目
CVSSスコア8.8(High)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル
ユーザー関与不要
CWECWE-78(OSコマンドインジェクション)

影響を受けるソフトウェア

製品影響バージョン修正バージョン
Xiongmai AHB7008T-MH-V24.03.R11未提供
Xiongmai NBD7024H-P4.03.R11未提供

修正バージョンと回避策

  • 現時点でベンダーからの修正ファームウェアは提供されていません
  • DVRIPプロトコル(TCPポート34567)への外部アクセスをファイアウォールでブロックしてください
  • デフォルトの認証情報を必ず変更してください
  • ネットワークセグメンテーションにより監視カメラ系を隔離してください

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-34005
Research:https://uky007.github.io/CVE-2026-34005/
Vendor:https://www.xiongmaitech.com
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。