概要
Technostrobe HI-LED-WR120-G2 ファームウェア バージョン 5.5.0.1R6.03.30 に おいて、 /fs エンドポイント の cwd パラメータ に 無制限 ファイル アップロード の 脆弱性 が 存在 します。 この 脆弱性 に より、 リモート の 攻撃者 が 任意 の ファイル を デバイス に アップロード できる 可能性 が あります。 悪意 の ある ファイル を アップロード する こと で、 リモート コード 実行 や デバイス の 完全 な 制御 奪取 に つながる 恐れ が あります。 ファイル タイプ の 検証 や サイズ 制限 が 適切 に 実装 されて いない こと が 原因 です。 Technostrobe 社 から の 応答 は 現時点 で 確認 されて おらず、 修正 パッチ の 提供 状況 は 不明 です。 同じ デバイス に 対する 認証 バイパス (CVE-2026-5570) や アクセス 制御 (CVE-2026-5569) の 脆弱性 と 組み合わせる こと で、 より 深刻 な 攻撃 が 可能 に なります。 特に ファイルシステム へ の 書き込み 権限 を 取得 された 場合、 悪意 ある スクリプト の 設置 や 設定 ファイル の 改ざん による 永続的 な バックドア が 作成 される 危険性 が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.3 |
| 深刻度 | HIGH |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| CWE | CWE-284, CWE-434 |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響バージョン |
|---|---|---|
| HI-LED-WR120-G2 | Technostrobe | 5.5.0.1R6.03.30 |
修正 バージョン と 回避策
- 修正: 現時点 で ベンダー から の 応答 が なく、 修正 バージョン は 未提供 です。 ベンダー の セキュリティ アドバイザリ を 定期的 に 確認 して ください
- 回避策: デバイス を 信頼 できる ネットワーク セグメント に 隔離 し、 外部 から の アクセス を ファイアウォール で 遮断 する こと を 推奨 します
- 追加対策: ファイル アップロード 機能 へ の アクセス を 完全 に 制限 し、 不要 な エンドポイント を 無効化 して ください
- 補足: 産業用 装置 の ため、 ネットワーク セグメンテーション と アクセスリスト に よる 保護 を 最優先 で 実施 して ください
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。