製品・ソフトウェアに関する情報

JVN脆弱性詳細

エレコム製無線 LAN ルーターにおける OS コマンドインジェクションの脆弱性

Title	エレコム製無線 LAN ルーターにおける OS コマンドインジェクションの脆弱性
Summary	エレコム株式会社が提供する複数の無線 LAN ルーターには、OS コマンドインジェクション (CWE-78) の脆弱性が存在します。この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 株式会社ゼロゼロワン早川宙也氏
Possible impacts	当該製品にログインしたユーザから細工されたリクエストを送信された場合、任意の OS コマンドを実行される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
Publication Date	Feb. 20, 2024, midnight
Registration Date	Feb. 21, 2024, 2:32 p.m.
Last Update	Feb. 4, 2026, 11:55 a.m.

Affected System

エレコム株式会社

WMC-2LX2-B v1.16

WMC-X1800GST-B v1.41 およびそれ以前のバージョン

WMC-X1800GST2-B v1.16

WRC-1167GS2-B v1.67 およびそれ以前のバージョン

WRC-1167GS2H-B v1.67 およびそれ以前のバージョン

WRC-1167GST2 ファームウェア v1.32 およびそれ以前のバージョン

WRC-2533GS2-B v1.62 およびそれ以前のバージョン

WRC-2533GS2-W v1.62 およびそれ以前のバージョン

WRC-2533GS2V-B v1.62 およびそれ以前のバージョン

WRC-2533GST2 ファームウェア v1.30 およびそれ以前のバージョン

WRC-G01-W v1.24 およびそれ以前のバージョン

WRC-X3200GST3-B v1.25 およびそれ以前のバージョン

WSC-X1800GS2-B v1.16

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-25579	https://www.cve.org/CVERecord?id=CVE-2024-25579

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-78	https://jvndb.jvn.jp/ja/cwe/CWE-78.html

ベンダー情報

No	Name	URL
エレコム株式会社
1	無線LANルーター・中継器のセキュリティ向上のためのファームウェアアップデート実施のお知らせ	https://www.elecom.co.jp/news/security/20240220-01/

その他

No	Name	URL
JVN
1	JVNVU#99444194	https://jvn.jp/vu/JVNVU99444194/index.html

Change Log

No	Changed Details	Date of change
4	[2024年08月28日] ベンダ情報：参考情報 (JVNVU#99444194) の更新に伴い内容を更新影響を受けるシステム：内容を更新	Aug. 28, 2024, 3:27 p.m.
2	[2024年03月26日] JVNVU の内容に合わせて全体を更新	March 27, 2024, 12:41 p.m.
3	[2024年05月29日] タイトル：内容を更新影響を受けるシステム：内容を更新	May 29, 2024, 11:14 a.m.
1	[2024年02月21日] 掲載	Feb. 21, 2024, 11:54 a.m.
5	[2024年11月27日] 影響を受けるシステム：内容を更新	Nov. 27, 2024, 12:42 p.m.
6	[2026年02月04日] 影響を受けるシステム：内容を更新	Feb. 4, 2026, 11:53 a.m.

NVD Vulnerability Information

CVE-2024-25579

Summary	OS command injection vulnerability in ELECOM wireless LAN routers allows a network-adjacent attacker with an administrative privilege to execute arbitrary OS commands by sending a specially crafted request to the product. Note that WMC-X1800GST-B is also included in e-Mesh Starter Kit "WMC-2LX-B".
Publication Date	Feb. 29, 2024, 8:15 a.m.
Registration Date	Feb. 29, 2024, noon
Last Update	Nov. 21, 2024, 6:01 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://jvn.jp/en/vu/JVNVU99444194/
2	https://jvn.jp/en/vu/JVNVU99444194/
3	https://www.elecom.co.jp/news/security/20240220-01/
4	https://www.elecom.co.jp/news/security/20240220-01/

Common Vulnerabilities List