An issue was discovered in ToToLink A3300R firmware v17.0.0cu.557_B20221024 allowing attackers to...

CVE-2026-31171 → GitHub で見る ↗ CVE.org で見る ↗ NVD で見る ↗

説明

An issue was discovered in ToToLink A3300R firmware v17.0.0cu.557_B20221024 allowing attackers to execute arbitrary commands via the url parameter to /cgi-bin/cstecgi.cgi.

基本情報

タイプ: unreviewed
深刻度: medium
GitHub 上のアドバイザリ: アドバイザリを開く ↗
リポジトリのアドバイザリ: —
ソースコード: 未指定
公開（アドバイザリ）: 2026-04-23 18:33:04 UTC
更新: 2026-04-23 21:31:21 UTC
NVD で公開: 2026-04-23 18:16:24 UTC

EPSS Score

Score	Percentile
0.20%	41.89%

CVSS Scores

Base score	Version	Severity	Vector
6.5	3.1	—	`CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N` クリックして展開攻撃ベクター (AV:N) インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。攻撃の複雑さ (AC:L) 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。必要な権限 (PR:N) 事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。ユーザーの関与 (UI:N) メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。スコープ (S:U) 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。機密性への影響 (C:L) 一部のデータや属性が漏えいしうるが、全件一括流出といった規模には至らない。完全性への影響 (I:L) レコードの一部書き換えや設定の歪みなど、限定的だが検知・復旧が必要な水準。可用性への影響 (A:N) 業務継続に支障が出るレベルの停止や劣化は想定されない。

Identifiers

Type	Value
GHSA	GHSA-359c-pmx2-3g2p ↗
CVE	CVE-2026-31171 ↗

CWEs

CWE id	Name
CWE-77	Improper Neutralization of Special Elements used in a Command ('Command Injection')

References

cvelogic Threat Intelligence