概要
Linksys MR9600 ルーター の ファームウェア バージョン 2.0.6.206937 に おいて、SmartConnect.lua スクリプト に OS コマンドインジェクション の 脆弱性(CWE-78)が 存在 します。
configApSsid 等 の パラメータ に 対する 入力 バリデーション が 不十分 な ため、攻撃者 は 細工 した リクエスト を 送信 する こと で、ルーター 上 で 任意 の OS コマンド を 実行 する こと が 可能 です。
IoT デバイス に おける コマンドインジェクション は、ネットワーク 全体 の 侵害 に つながる 危険性 が あるため、速やか な ファームウェア 更新 が 推奨 されます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.8 (High) |
| 攻撃元 | ネットワーク(隣接) |
| 攻撃条件 | 低 |
| 認証 | 低権限ユーザー |
| CWE | CWE-78 (OSコマンドインジェクション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| MR9600 | Linksys | ファームウェア 2.0.6.206937 |
修正バージョンと回避策
- 修正バージョン: Linksys から の 修正 ファームウェア の 提供 を 確認 して ください
- 暫定回避策: ルーター の 管理 画面 へ の アクセス を 信頼 できる 端末 に 制限 する。WAN 側 から の 管理 アクセス を 無効化 する
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。