| Title | エレコム製無線LANルーターにおける複数の脆弱性 |
|---|---|
| Summary | エレコム株式会社が提供する複数の無線LANルーターには、次の複数の脆弱性が存在します。 <ul><li>アップロードするファイルの検証が不十分(CWE-434)- CVE-2024-34021</li><li>OSコマンドインジェクション(CWE-78)- CVE-2024-39607</li><li>クロスサイトリクエストフォージェリ(CWE-352)- CVE-2024-40883</li></ul> CVE-2024-34021 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:日本電気株式会社 外山 拓 氏、荒井 大地 氏 CVE-2024-39607、CVE-2024-40883 これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 |
| Possible impacts | 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。<ul><li>当該製品にログインしたユーザから細工されたファイルをアップロードされ、任意のOSコマンドを実行される(CVE-2024-34021)</li><li>当該製品にログインしたユーザから細工されたリクエストを送信され、任意のOSコマンドを実行される(CVE-2024-39607)</li><li>当該製品にログインした状態のユーザが細工されたページにアクセスした場合、ログインIDやログインパスワード等の設定を変更させられる(CVE-2024-40883)</li></ul> |
| Solution | [アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 |
| Publication Date | July 30, 2024, midnight |
| Registration Date | July 30, 2024, 12:12 p.m. |
| Last Update | Feb. 3, 2026, 2:25 p.m. |
| CVSS3.0 : 警告 | |
| Score | 6.8 |
|---|---|
| Vector | CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| エレコム株式会社 |
| WRC-1167GS2-B v1.74およびそれ以前のバージョン(CVE-2024-34021) |
| WRC-1167GS2H-B v1.74およびそれ以前のバージョン(CVE-2024-34021) |
| WRC-1167GST2 ファームウェア v1.32およびそれ以前のバージョン(CVE-2024-34021) |
| WRC-2533GS2-B v1.68 およびそれ以前のバージョン (CVE-2024-34021) |
| WRC-2533GS2-W v1.68 およびそれ以前のバージョン (CVE-2024-34021) |
| WRC-2533GS2V-B v1.68 およびそれ以前のバージョン (CVE-2024-34021) |
| WRC-2533GST2 ファームウェア v1.30およびそれ以前のバージョン (CVE-2024-34021) |
| WRC-X1500GS-B v1.11 およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X1500GSA-B v1.11 およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X1800GS-B v1.18およびそれ以前のバージョン(CVE-2024-39607、CVE-2024-40883) |
| WRC-X1800GSA-B v1.18およびそれ以前のバージョン(CVE-2024-39607、CVE-2024-40883) |
| WRC-X1800GSH-B v1.18およびそれ以前のバージョン(CVE-2024-39607、CVE-2024-40883) |
| WRC-X3000GS2-B ファームウェア v1.08およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X3000GS2-W ファームウェア v1.08およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X3000GS2A-B ファームウェア v1.08およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X6000QS-G v1.13およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X6000QSA-G v1.13およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X6000XS-G v1.11 およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X6000XST-G v1.14およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-XE5400GS-G v1.12およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-XE5400GSA-G v1.12およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| No | Changed Details | Date of change |
|---|---|---|
| 3 | [2024年09月24日] 影響を受けるシステム:内容を追記 |
Sept. 18, 2024, 9:37 a.m. |
| 4 | [2024年11月26日] 影響を受けるシステム:内容を追記 |
Nov. 25, 2024, 3:14 p.m. |
| 5 | [2025年02月12日] 影響を受けるシステム:内容を追記 |
Feb. 12, 2025, 9:37 a.m. |
| 6 | [2026年02月03日] 影響を受けるシステム:内容を追記 |
Jan. 30, 2026, 10:56 a.m. |
| 2 | [2024年08月27日] 影響を受けるシステム:内容を追記 |
Aug. 22, 2024, 4:57 p.m. |
| 1 | [2024年07月30日] 掲載 |
July 26, 2024, 7:08 p.m. |
| Summary | Unrestricted upload of file with dangerous type vulnerability exists in ELECOM wireless LAN routers. A specially crafted file may be uploaded to the affected product by a logged-in user with an administrative privilege, resulting in an arbitrary OS command execution. |
|---|---|
| Publication Date | Aug. 1, 2024, 11:15 a.m. |
| Registration Date | Aug. 1, 2024, 4 p.m. |
| Last Update | Aug. 1, 2024, 11:15 a.m. |
| Summary | OS command injection vulnerability exists in ELECOM wireless LAN routers. A specially crafted request may be sent to the affected product by a logged-in user with an administrative privilege to execute an arbitrary OS command. |
|---|---|
| Publication Date | Aug. 1, 2024, 11:15 a.m. |
| Registration Date | Aug. 1, 2024, 4 p.m. |
| Last Update | Aug. 1, 2024, 11:15 a.m. |
| Summary | Cross-site request forgery vulnerability exists in ELECOM wireless LAN routers. Viewing a malicious page while logging in to the affected product with an administrative privilege, the user may be directed to perform unintended operations such as changing the login ID, login password, etc. |
|---|---|
| Publication Date | Aug. 1, 2024, 11:15 a.m. |
| Registration Date | Aug. 1, 2024, 4 p.m. |
| Last Update | Oct. 27, 2024, 10:35 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:o:elecom:wrc-2533gs2-b_firmware:*:*:*:*:*:*:*:* | 1.69 | ||||
| execution environment | |||||
| 1 | cpe:2.3:h:elecom:wrc-2533gs2-b:-:*:*:*:*:*:*:* | ||||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:o:elecom:wrc-2533gs2-w_firmware:*:*:*:*:*:*:*:* | 1.69 | ||||
| execution environment | |||||
| 1 | cpe:2.3:h:elecom:wrc-2533gs2-w:-:*:*:*:*:*:*:* | ||||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:o:elecom:wrc-2533gs2v-b_firmware:*:*:*:*:*:*:*:* | 1.69 | ||||
| execution environment | |||||
| 1 | cpe:2.3:h:elecom:wrc-2533gs2v-b:-:*:*:*:*:*:*:* | ||||
| Configuration4 | or higher | or less | more than | less than | |
| cpe:2.3:o:elecom:wrc-x6000xs-g_firmware:*:*:*:*:*:*:*:* | 1.12 | ||||
| execution environment | |||||
| 1 | cpe:2.3:h:elecom:wrc-x6000xs-g:-:*:*:*:*:*:*:* | ||||
| Configuration5 | or higher | or less | more than | less than | |
| cpe:2.3:o:elecom:wrc-x1500gs-b_firmware:*:*:*:*:*:*:*:* | 1.12 | ||||
| execution environment | |||||
| 1 | cpe:2.3:h:elecom:wrc-x1500gs-b:*:*:*:*:*:*:*:* | ||||
| Configuration6 | or higher | or less | more than | less than | |
| cpe:2.3:o:elecom:wrc-x1500gsa-b_firmware:*:*:*:*:*:*:*:* | 1.12 | ||||
| execution environment | |||||
| 1 | cpe:2.3:h:elecom:wrc-x1500gsa-b:*:*:*:*:*:*:*:* | ||||