製品・ソフトウェアに関する情報

JVN脆弱性詳細

Topsec Technologies Group Inc.のTianxin Internet Behavior Management SystemにおけるOS コマンドインジェクションの脆弱性

Title	Topsec Technologies Group Inc.のTianxin Internet Behavior Management SystemにおけるOS コマンドインジェクションの脆弱性
Summary	Tianxinインターネット行動管理システムのReporterコンポーネントのエンドポイントにはコマンドインジェクションの脆弱性が存在します。この脆弱性により、認証されていない攻撃者がシェルのメタキャラクタと出力リダイレクションを含む細工されたobjClassパラメータを送信することで任意のコマンドを実行できます。攻撃者はこの脆弱性を悪用して悪意のあるPHPファイルをウェブルートに書き込み、ウェブサーバープロセスの権限でリモートコード実行を達成する可能性があります。本脆弱性はバージョンNACFirmware_4.0.0.7_20210716.180815_topsec_0_basic.binで修正されました。攻撃の証拠は2024年6月1日(UTC)にShadowserver Foundationによって初めて観測されました。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 7, 2026, midnight
Registration Date	April 27, 2026, 11:29 a.m.
Last Update	April 27, 2026, 11:29 a.m.

CVSS3.0 : 緊急
Score	9.8
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Affected System

Topsec Technologies Group Inc.

Tianxin Internet Behavior Management System 4.0.0.7_20210716.180815 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-4473	https://www.cve.org/CVERecord?id=CVE-2021-4473
National Vulnerability Database (NVD)
2	CVE-2021-4473	https://nvd.nist.gov/vuln/detail/CVE-2021-4473

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-78	https://jvndb.jvn.jp/ja/cwe/CWE-78.html

ベンダー情報

No	Name	URL
Alibaba Cloud
1	Alibaba Cloudの脆弱性データベース	https://avd.aliyun.com/detail?id=AVD-2021-890232
China National Vulnerability Database
2	https://www.cnvd.org.cn/flaw/show/CNVD-2021-41972	https://www.cnvd.org.cn/flaw/show/CNVD-2021-41972
Topsec Technologies Group Inc.
3	分享——致与我擦肩而的一个shell \| CN-SEC 中文网	https://cn-sec.com/archives/4631959.html
VulnCheck
4	Tianxin Internet Behavior Management System Command Injection via toQuery.php \| Advisories \| VulnCheck	https://www.vulncheck.com/advisories/tianxin-internet-behavior-management-system-command-injection-via-toquery-php

その他

No	Name	URL
関連文書
1	https://www.cnvd.org.cn/patchInfo/show/280166	https://www.cnvd.org.cn/patchInfo/show/280166

Change Log

No	Changed Details	Date of change
1	[2026年04月27日] 掲載	April 27, 2026, 11:29 a.m.

NVD Vulnerability Information

CVE-2021-4473

Summary	Tianxin Internet Behavior Management System contains a command injection vulnerability in the Reporter component endpoint that allows unauthenticated attackers to execute arbitrary commands by supplying a crafted objClass parameter containing shell metacharacters and output redirection. Attackers can exploit this vulnerability to write malicious PHP files into the web root and achieve remote code execution with the privileges of the web server process. This vulnerability has been fixed in version NACFirmware_4.0.0.7_20210716.180815_topsec_0_basic.bin. Exploitation evidence was first observed by the Shadowserver Foundation on 2024-06-01 (UTC).
Publication Date	April 7, 2026, 10:16 p.m.
Registration Date	April 15, 2026, 11:28 a.m.
Last Update	April 25, 2026, 12:12 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:topsecgroup:tianxin_internet_behavior_management_system::::::::					4.0.0.7_20210716.180815

Related information, measures and tools

No	URL	refsource
1	https://avd.aliyun.com/detail?id=AVD-2021-890232	disclosure@vulncheck.com
2	https://cn-sec.com/archives/4631959.html	disclosure@vulncheck.com
3	https://www.cnvd.org.cn/flaw/show/CNVD-2021-41972	disclosure@vulncheck.com
4	https://www.cnvd.org.cn/patchInfo/show/280166	disclosure@vulncheck.com
5	https://www.vulncheck.com/advisories/tianxin-internet-behavior-management-system-command-injection-via-toquery-php	disclosure@vulncheck.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-78	OSコマンド・インジェクション	https://cwe.mitre.org/data/definitions/78.html