D-Link DIR-650INルーターのファームウェアV1.04において、認証済みコマンドインジェクションの脆弱性

今週中

D-Link DIR-650INルーターのファームウェアV1.04において、認証済みコマンドインジェクションの脆弱性

脆弱性🌐 英語ソース

📅 2026-04-10📰 exploit_db

📌 一言でいうと

D-Link DIR-650INルーターのファームウェアV1.04において、認証済みコマンドインジェクションの脆弱性が報告されました。管理画面の診断機能（Ping/Traceroute）にある「sysHost」パラメータのサニタイズ不足により、攻撃者はOSコマンドを実行可能です。これにより、/etc/passwdなどの機密ファイルの読み取りを含むルーターの完全な制御を奪われる可能性があります。

🏢影響範囲

D-Link DIR-650INルーターを使用している家庭および小規模オフィス

✅該当時の対応

最新のファームウェアへのアップデートを確認し、適用すること。また、管理画面へのアクセス制限を設け、不要な診断機能の利用を制限することを推奨します。

📧 メール案を見る (管理者向け)

⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。

件名: 【共有】D-Link DIR-650IN 認証済みコマンドインジェクションへの対応について

お疲れさまです。D-Link DIR-650INにおける脆弱性に関する情報共有です。

■ 概要
本製品の診断機能（Ping/Traceroute）において、sysHostパラメータの検証不備によるコマンドインジェクションの脆弱性が確認されました。認証済みのユーザーが任意のOSコマンドを実行でき、システム権限を奪取される恐れがあります。

■ 影響範囲
- 対象製品: D-Link DIR-650IN
- 対象バージョン: Firmware V1.04

■ 対応手順
1. ネットワーク内で対象デバイスが使用されていないか資産確認を行う。
2. 最新のファームウェアが提供されているか確認し、アップデートを適用する。
3. 管理画面へのアクセスを信頼できるIPアドレスのみに制限する。

■ 参考情報
- Exploit-DB EDB-ID: 52508

対応優先度: 中
対応期限: 速やかに確認し、適用してください。

Subject: [Security Advisory] Authenticated Command Injection in D-Link DIR-650IN

Dear IT Administration Team,

We are sharing information regarding a vulnerability found in the D-Link DIR-650IN router.

■ Overview
An authenticated command injection vulnerability exists in the Diagnostic (Ping/Traceroute) functionality. Due to lack of sanitization of the 'sysHost' parameter, an authenticated attacker can execute arbitrary OS commands, leading to full device compromise.

■ Scope
- Product: D-Link DIR-650IN
- Version: Firmware V1.04

■ Mitigation Steps
1. Identify if any DIR-650IN devices are active within the network infrastructure.
2. Check for and apply the latest firmware updates from the vendor.
3. Restrict access to the web management interface to authorized IP addresses only.

■ Reference
- Exploit-DB EDB-ID: 52508

Priority: Medium
Deadline: As soon as possible

🔗 元の記事を読む