製品・ソフトウェアに関する情報
Vulnerability Search
TOTOLINK X5000R ルータおよび A720R ルータにおける OS コマンドインジェクションの脆弱性
Title TOTOLINK X5000R ルータおよび A720R ルータにおける OS コマンドインジェクションの脆弱性
Summary

TOTOLINK X5000R ルータおよび A720R ルータには、OS コマンドインジェクションの脆弱性が存在します。

Possible impacts 情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date Feb. 24, 2021, midnight
Registration Date Dec. 15, 2021, 6 p.m.
Last Update Dec. 15, 2021, 6 p.m.
CVSS3.0 : 緊急
Score 9.8
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS2.0 : 危険
Score 10
Vector AV:N/AC:L/Au:N/C:C/I:C/A:C
Affected System
TOTOLINK
A720R ファームウェア 4.1.5cu.470_B20200911
X5000R ファームウェア 9.1.0u.6118_B20201102
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2021年12月15日]
  掲載		 Dec. 15, 2021, 6 p.m.
NVD Vulnerability Information
CVE-2021-27708
Summary

Command Injection in TOTOLINK X5000R router with firmware v9.1.0u.6118_B20201102, and TOTOLINK A720R router with firmware v4.1.5cu.470_B20200911 allows remote attackers to execute arbitrary OS commands by sending a modified HTTP request. This occurs because the function executes glibc's system function with untrusted input. In the function, "command" parameter is directly passed to the attacker, allowing them to control the "command" field to attack the OS.

Publication Date April 15, 2021, 1:15 a.m.
Registration Date April 15, 2021, 2:04 p.m.
Last Update Nov. 21, 2024, 2:58 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:o:totolink:x5000r_firmware:9.1.0u.6118_b20201102:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:totolink:x5000r:-:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:o:totolink:a720r_firmware:4.1.5cu.470_b20200911:*:*:*:*:*:*:*
execution environment
1 cpe:2.3:h:totolink:a720r:-:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List