エレコム製無線 LAN ルーターにおける OS コマンドインジェクションの脆弱性
| Title |
エレコム製無線 LAN ルーターにおける OS コマンドインジェクションの脆弱性
|
| Summary |
エレコム株式会社が提供する複数の無線 LAN ルーターには、OS コマンドインジェクション (CWE-78) の脆弱性が存在します。 この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社ゼロゼロワン 早川 宙也 氏
|
| Possible impacts |
細工されたリクエストを当該製品にログイン後のユーザから送信された場合、任意の OS コマンドを実行される可能性があります。 |
| Solution |
[アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 |
| Publication Date |
Jan. 23, 2024, midnight |
| Registration Date |
Jan. 24, 2024, 3:40 p.m. |
| Last Update |
May 15, 2026, 3:30 p.m. |
|
CVSS3.0 : 警告
|
| Score |
6.8
|
| Vector |
CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
|
CVSS2.0 : 警告
|
| Score |
5.2
|
| Vector |
AV:A/AC:L/Au:S/C:P/I:P/A:P |
Affected System
| エレコム株式会社 |
|
WRC-X1500GS-B v1.11 およびそれ以前のバージョン
|
|
WRC-X1500GSA-B v1.11 およびそれ以前のバージョン
|
|
WRC-X1800GS-B v1.17 およびそれ以前のバージョン
|
|
WRC-X1800GSA-B v1.17 およびそれ以前のバージョン
|
|
WRC-X1800GSH-B v1.17 およびそれ以前のバージョン
|
|
WRC-X3000GS2-B v1.08およびそれ以前のバージョン
|
|
WRC-X3000GS2-W v1.08およびそれ以前のバージョン
|
|
WRC-X3000GS2A-B v1.08およびそれ以前のバージョン
|
|
WRC-X3000GST2-B v1.06およびそれ以前のバージョン
|
|
WRC-X6000QS-G v1.13 およびそれ以前のバージョン
|
|
WRC-X6000QSA-G v1.13 およびそれ以前のバージョン
|
|
WRC-X6000XS-G v1.09
|
|
WRC-X6000XST-G v1.12 およびそれ以前のバージョン
|
|
WRC-XE5400GS-G v1.12 およびそれ以前のバージョン
|
|
WRC-XE5400GSA-G v1.12 およびそれ以前のバージョン
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 3 |
[2024年07月31日]
影響を受けるシステム:内容を更新 |
July 31, 2024, 11:44 a.m. |
| 4 |
[2024年08月28日]
影響を受けるシステム:内容を更新 |
Aug. 28, 2024, 2:46 p.m. |
| 5 |
[2025年02月13日]
影響を受けるシステム:内容を更新 |
Feb. 13, 2025, 11:47 a.m. |
| 6 |
[2026年05月15日]
影響を受けるシステム:内容を更新
ベンダ情報:内容を更新 |
May 15, 2026, 2:03 p.m. |
| 1 |
[2024年01月24日]
掲載 |
Jan. 24, 2024, 3:40 p.m. |
| 2 |
[2024年03月13日]
参考情報:National Vulnerability Database (NVD) (CVE-2024-22372) を追加 |
July 31, 2024, 11:12 a.m. |
NVD Vulnerability Information
CVE-2024-22372
| Summary |
OS command injection vulnerability in ELECOM wireless LAN routers allows a network-adjacent attacker with an administrative privilege to execute arbitrary OS commands by sending a specially crafted request to the product.
|
| Publication Date |
Jan. 24, 2024, 2:15 p.m. |
| Registration Date |
Jan. 24, 2024, 4 p.m. |
| Last Update |
Nov. 21, 2024, 5:56 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:elecom:wrc-x1800gs-b_firmware:*:*:*:*:*:*:*:* |
|
|
|
1.18 |
| execution environment |
| 1 |
cpe:2.3:h:elecom:wrc-x1800gs-b:-:*:*:*:*:*:*:* |
| Configuration2 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:elecom:wrc-x1800gsh-b_firmware:*:*:*:*:*:*:*:* |
|
|
|
1.18 |
| execution environment |
| 1 |
cpe:2.3:h:elecom:wrc-x1800gsh-b:-:*:*:*:*:*:*:* |
| Configuration3 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:elecom:wrc-x1800gsa-b_firmware:*:*:*:*:*:*:*:* |
|
|
|
1.18 |
| execution environment |
| 1 |
cpe:2.3:h:elecom:wrc-x1800gsa-b:-:*:*:*:*:*:*:* |
| Configuration4 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:elecom:wrc-x6000xs-g_firmware:1.09:*:*:*:*:*:*:* |
|
|
|
|
| execution environment |
| 1 |
cpe:2.3:h:elecom:wrc-x6000xs-g:-:*:*:*:*:*:*:* |
| Configuration5 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:elecom:wrc-x6000xst-g_firmware:*:*:*:*:*:*:*:* |
|
|
|
1.14 |
| execution environment |
| 1 |
cpe:2.3:h:elecom:wrc-x6000xst-g:-:*:*:*:*:*:*:* |
Related information, measures and tools
Common Vulnerabilities List