製品・ソフトウェアに関する情報
Vulnerability Search
Pavel OdintsovのFastNetMonにおける複数の脆弱性
Title Pavel OdintsovのFastNetMonにおける複数の脆弱性
Summary

FastNetMon Community Edition 1.2.9までのバージョンには、Juniperルーター統合プラグインに設定インジェクションの脆弱性があります。src/juniper_plugin/fastnetmon_juniper.phpファイル内で、$IP_ATTACK変数(argv[1]から取得)が検証やサニタイズなしにJuniper NETCONFのset-configurationコマンドに直接埋め込まれています。具体的には69行目で$conn-load_set_configuration("set routing-options static route {$IP_ATTACK} community 65535:666 discard")が実行され、90行目で$conn-load_set_configuration("delete routing-options static route {$IP_ATTACK}/32")が実行されます。攻撃者がIPアドレス文字列を制御できる場合、改行文字と任意のset/deleteコマンドを埋め込むことにより、追加のJuniper CLI設定コマンドを注入できます。これによりルーターのルーティングテーブル、ファイアウォールフィルター、ユーザーアカウント、またはNETCONF経由でアクセス可能なその他の設定要素が変更される可能性があります。影響はルーターの完全な権限乗っ取りに及びます。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date May 26, 2026, midnight
Registration Date May 29, 2026, 11:16 a.m.
Last Update May 29, 2026, 11:16 a.m.
CVSS3.0 : 重要
Score 8.1
Vector CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
1 [2026年05月29日]
  掲載		 May 29, 2026, 11:16 a.m.
NVD Vulnerability Information
CVE-2026-48694
Summary

FastNetMon Community Edition through 1.2.9 contains a configuration injection vulnerability in the Juniper router integration plugin. In src/juniper_plugin/fastnetmon_juniper.php, the $IP_ATTACK variable (received from argv[1]) is directly interpolated into Juniper NETCONF set-configuration commands at lines 69 and 90 without any validation or sanitization. Line 69: $conn->load_set_configuration("set routing-options static route {$IP_ATTACK} community 65535:666 discard"). Line 90: $conn->load_set_configuration("delete routing-options static route {$IP_ATTACK}/32"). An attacker who can control the IP address string can inject additional Juniper CLI configuration commands by embedding newline characters followed by arbitrary set/delete commands. This could modify the router's routing table, firewall filters, user accounts, or any other configuration element accessible via NETCONF. The impact is full router compromise.

Publication Date May 27, 2026, 3:16 a.m.
Registration Date May 27, 2026, 4:08 a.m.
Last Update May 28, 2026, 12:53 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:pavel-odintsov:fastnetmon:*:*:*:*:community:*:*:* 1.2.9
Related information, measures and tools
Common Vulnerabilities List