TOTOLINK A950RGの脆弱性CVE-2025-45798が公開、コマンドインジェクションへの対策が必要

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

IT・テックのコネクトメディア「ゼゼック」
カテゴリ毎のアーカイブ記事一覧
【カテゴリ別】2025年05月のアーカイブ一覧
【2025年05月】セキュリティに関するアーカイブ一覧
【2025年05月08日】セキュリティに関するアーカイブ一覧
TOTOLINK A950RGの脆弱性CVE-2025-45798が公開、コマンドインジェクションへの対策が必要

記事の要約

TOTOLINK A950RG V4.1.2cu.5204_B20210112におけるコマンド実行の脆弱性が公開された
脆弱性はsetNoticeCfgインターフェースのIpToパラメータ処理にある
CVE-2025-45798としてMITRE Corporationにより公開された

TOTOLINK A950RGの脆弱性情報公開

MITRE Corporationは2025年5月8日、TOTOLINK A950RGルーターの脆弱性情報を公開した。この脆弱性は、コマンドインジェクションの脆弱性であり、深刻なセキュリティリスクとなる可能性があるのだ。

脆弱性は、/lib/cste_modules/system.soライブラリ内のsetNoticeCfgインターフェース、特にIpToパラメータの処理に存在する。攻撃者はこの脆弱性を悪用することで、デバイス上でコマンドを実行できる可能性があるのだ。

この脆弱性情報は、CVE-2025-45798として登録されており、CVSSスコアは6.5（MEDIUM）と評価されている。TOTOLINK A950RGを使用しているユーザーは、速やかにファームウェアのアップデートを行う必要があるだろう。

脆弱性詳細

項目	詳細
CVE ID	CVE-2025-45798
公開日	2025-05-08
更新日	2025-05-12
影響を受ける製品	TOTOLINK A950RG V4.1.2cu.5204_B20210112
脆弱性の種類	コマンドインジェクション
脆弱性の場所	/lib/cste_modules/system.soのsetNoticeCfgインターフェース
CVSSスコア	6.5 (MEDIUM)
CWE	CWE-77

コマンドインジェクションについて

コマンドインジェクションとは、悪意のあるコードをアプリケーションに挿入することで、予期せぬコマンドを実行させる攻撃手法である。攻撃者は、入力フォームやAPIエンドポイントなどを介して悪意のあるコードを送信するのだ。

システムの制御を奪われる可能性がある
機密データの漏洩につながる可能性がある
サービス停止を引き起こす可能性がある

この攻撃を防ぐためには、入力値の検証やサニタイジング、パラメータの適切なエスケープ処理などが重要となる。適切なセキュリティ対策を講じることで、コマンドインジェクション攻撃からシステムを保護することができるのだ。

CVE-2025-45798に関する考察

TOTOLINK A950RGにおけるコマンドインジェクションの脆弱性CVE-2025-45798は、深刻なセキュリティリスクである。迅速な対応が求められるのは言うまでもない。この脆弱性によって、攻撃者はデバイスを完全に制御できる可能性があり、データ漏洩やサービス妨害などの被害が発生する可能性があるのだ。

今後、同様の脆弱性が他のTOTOLINK製品や他社製品でも発見される可能性がある。そのため、定期的なセキュリティアップデートの実施や、脆弱性情報の監視が重要となるだろう。また、ユーザー自身もセキュリティ意識を高め、不審なウェブサイトやメールへのアクセスを避けるなどの対策を行う必要がある。

この脆弱性の発見と公開は、IoTデバイスのセキュリティ対策の重要性を改めて示している。メーカーは、製品のセキュリティを強化し、ユーザーへの情報提供を迅速に行う必要がある。ユーザーは、セキュリティアップデートを適用し、安全なインターネット利用を心がけるべきだ。