製品・ソフトウェアに関する情報

JVN脆弱性詳細

Pavel OdintsovのFastNetMonにおけるOS コマンドインジェクションの脆弱性

Title	Pavel OdintsovのFastNetMonにおけるOS コマンドインジェクションの脆弱性
Summary	FastNetMon Community Edition バージョン 1.2.9 までには、MikroTik ルーター統合プラグインに OS コマンドインジェクションの脆弱性があります。src/mikrotik_plugin/fastnetmon_mikrotik.php の _log() 関数（107108行目）では、$msg パラメータを直接 exec() 呼び出しに連結してシェルコマンドを構築しています：exec("echo `date` \"- {FASTNETMON] - " . $msg . " \" >> " . $FILE_LOG_TMP)。これは Juniper プラグインの脆弱性と同様のパターンです。$msg 変数はコマンドライン引数からの未サニタイズの攻撃データを含んでいます。argv[] の値を操作できる攻撃者は任意のシェルコマンドを注入可能です。修正方法は exec() を file_put_contents() に置き換えるか、escapeshellarg() を使用することです。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 26, 2026, midnight
Registration Date	May 29, 2026, 11:16 a.m.
Last Update	May 29, 2026, 11:16 a.m.

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-48695	https://www.cve.org/CVERecord?id=CVE-2026-48695
Lorikeet Security
2	CVE-2026-48695: OS Command Injection in FastNetMon's MikroTik Plugin (Plus Hardcoded Credentials) \| Lorikeet Security	https://lorikeetsecurity.com/blog/fastnetmon-cve-2026-48695-mikrotik-cmd-injection
National Vulnerability Database (NVD)
3	CVE-2026-48695	https://nvd.nist.gov/vuln/detail/CVE-2026-48695

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-78	https://jvndb.jvn.jp/ja/cwe/CWE-78.html

その他

No	Name	URL
関連文書
1	fastnetmon/src/mikrotik_plugin/fastnetmon_mikrotik.php at master pavel-odintsov/fastnetmon GitHub	https://github.com/pavel-odintsov/fastnetmon/blob/master/src/mikrotik_plugin/fastnetmon_mikrotik.php
2	GitHub - pavel-odintsov/fastnetmon: Very fast DDoS sensor with sFlow/Netflow/IPFIX/SPAN support GitHub	https://github.com/pavel-odintsov/fastnetmon

Change Log

No	Changed Details	Date of change
1	[2026年05月29日] 掲載	May 29, 2026, 11:16 a.m.

NVD Vulnerability Information

CVE-2026-48695

Summary	FastNetMon Community Edition through 1.2.9 contains an OS command injection vulnerability in the MikroTik router integration plugin. The _log() function in src/mikrotik_plugin/fastnetmon_mikrotik.php (lines 107-108) constructs shell commands by concatenating the $msg parameter directly into exec() calls: exec("echo `date` \"- {FASTNETMON] - " . $msg . " \" >> " . $FILE_LOG_TMP). This is identical in pattern to the Juniper plugin vulnerability. The $msg variable contains unsanitized attack data from command-line arguments. An attacker who can influence argv[] values can inject arbitrary shell commands. The fix is to replace exec() with file_put_contents() or use escapeshellarg().
Publication Date	May 27, 2026, 3:16 a.m.
Registration Date	May 27, 2026, 4:08 a.m.
Last Update	May 28, 2026, 12:51 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:pavel-odintsov:fastnetmon:::::community:::*			1.2.9

Related information, measures and tools

No	URL	refsource
1	https://github.com/pavel-odintsov/fastnetmon	cve@mitre.org
2	https://github.com/pavel-odintsov/fastnetmon/blob/master/src/mikrotik_plugin/fastnetmon_mikrotik.php	cve@mitre.org
3	https://lorikeetsecurity.com/blog/fastnetmon-cve-2026-48695-mikrotik-cmd-injection	cve@mitre.org

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-78	OSコマンド・インジェクション	https://cwe.mitre.org/data/definitions/78.html