セキュリティ

SECURITY

公開：2025-05-11

【CVE-2025-3987】TOTOLINK N150RT 3.4.0-B20190525にコマンドインジェクションの脆弱性が発見、遠隔からの攻撃が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• TOTOLINK N150RT 3.4.0-B20190525にコマンドインジェクションの脆弱性
• formWscファイルのlocalPin引数で遠隔から攻撃が可能
• CVSSスコア最大6.3のミディアムレベルの深刻度

TOTOLINK N150RT 3.4.0-B20190525のコマンドインジェクション脆弱性

セキュリティ研究者により、TOTOLINK N150RT 3.4.0-B20190525に重大な脆弱性が発見され、2025年4月27日に公開された。この脆弱性は/boafrm/formWscファイルのlocalPin引数を操作することでコマンドインジェクション攻撃が可能となり、CVE-2025-3987として識別されている。^[1]

この脆弱性はリモートから攻撃を仕掛けることが可能であり、既に攻撃手法が一般に公開されている状態となっている。CVSSによる評価では最大スコア6.3のミディアムレベルとされており、機密性・完全性・可用性のそれぞれに軽度の影響があると判断されている。

VulDBによって報告されたこの脆弱性は、CWE-77（コマンドインジェクション）およびCWE-74（インジェクション）に分類されている。攻撃には特権レベルが必要となるものの、ユーザーインタラクションは不要とされており、ネットワークを介した攻撃が可能な状態となっている。

脆弱性の詳細情報まとめ

コマンドインジェクションについて

コマンドインジェクションとは、攻撃者が悪意のあるコマンドを実行可能なシステムに注入する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 入力値のバリデーション不備を突いた攻撃手法
• システムコマンドの不正実行が可能
• 権限昇格やデータ改ざんのリスクがある

TOTOLINK N150RT 3.4.0-B20190525で発見された脆弱性では、/boafrm/formWscファイルのlocalPin引数を経由してコマンドインジェクション攻撃が可能となっている。この脆弱性は既に公開されており、攻撃コードも入手可能な状態であるため、早急な対策が必要とされている。

TOTOLINK N150RTの脆弱性に関する考察

TOTOLINK N150RTの脆弱性は、IoT機器のセキュリティ設計における重要な課題を浮き彫りにしている。特にコマンドインジェクションの脆弱性は、攻撃者がシステムコマンドを実行できるという点で深刻であり、ファームウェアの入念な検証と適切な入力値のバリデーション処理が不可欠となっている。

今後はIoT機器のセキュリティ設計において、入力値の厳格なチェックやコマンド実行権限の適切な制限が重要となるだろう。特にルーターなどのネットワーク機器は攻撃の標的となりやすく、製品開発段階からのセキュリティ対策の実装が求められている。

ファームウェアアップデートによる脆弱性の修正も重要な課題となっている。IoT機器はエンドユーザーによるアップデートが適切に行われないケースも多く、自動アップデート機能の実装や、ユーザーへの適切な告知方法の確立が望まれる。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-3987」. https://www.cve.org/CVERecord?id=CVE-2025-3987, (参照 25-05-11).
2235

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧