製品・ソフトウェアに関する情報

JVN脆弱性詳細

エレコム製無線 LAN ルーターにおける複数の脆弱性

Title	エレコム製無線 LAN ルーターにおける複数の脆弱性
Summary	エレコム株式会社が提供する複数の無線 LAN ルーターには、次の複数の脆弱性が存在します。　* OSコマンドインジェクション (CWE-78) - CVE-2024-25568 　* OSコマンドインジェクション (CWE-78) - CVE-2024-26258 　* 情報漏えい (CWE-200) - CVE-2024-29225 これらの脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 株式会社ゼロゼロワン早川宙也氏
Possible impacts	想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。　* 第三者から細工されたリクエストを送信され、任意の OS コマンドを実行される - CVE-2024-25568 　* 当該製品の認証情報を持つユーザから細工されたリクエストを送信され、任意の OS コマンドを実行される - CVE-2024-26258 　* 第三者から細工されたリクエストを送信され、機微な情報を含んだ設定ファイルを窃取される - CVE-2024-29225
Solution	[アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
Publication Date	March 26, 2024, midnight
Registration Date	March 27, 2024, 1:36 p.m.
Last Update	May 15, 2026, 3:30 p.m.

Affected System

エレコム株式会社

WMC-2LX-B v1.42およびそれ以前のバージョン (CVE-2024-26258、CVE-2024-29225)

WMC-X1800GST-B v1.41およびそれ以前のバージョン (CVE-2024-25568)

WMC-X1800GST-B v1.42およびそれ以前のバージョン (CVE-2024-26258、CVE-2024-29225)

WRC-1167GST2 v1.32およびそれ以前のバージョン (CVE-2024-26258)

WRC-2533GST2 v1.30およびそれ以前のバージョン (CVE-2024-26258)

WRC-G01-W v1.24およびそれ以前のバージョン (CVE-2024-25568、CVE-2024-26258、CVE-2024-29225)

WRC-X3200GST3-B v1.25およびそれ以前のバージョン (CVE-2024-25568、CVE-2024-26258、CVE-2024-29225)

WSC-X1800GS-B v1.42およびそれ以前のバージョン (CVE-2024-26258、CVE-2024-29225)

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-25568	https://www.cve.org/CVERecord?id=CVE-2024-25568
2	CVE-2024-26258	https://www.cve.org/CVERecord?id=CVE-2024-26258
3	CVE-2024-29225	https://www.cve.org/CVERecord?id=CVE-2024-29225

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html
2	CWE-78	https://jvndb.jvn.jp/ja/cwe/CWE-78.html

ベンダー情報

No	Name	URL
JVN
1	エレコム株式会社からの情報	https://jvn.jp/vu/JVNVU95381465/995441/index.html
エレコム株式会社
2	エレコム株式会社の告知ページ	https://www.elecom.co.jp/news/security/20240326-01/

その他

No	Name	URL
JVN
1	JVNVU#95381465	https://jvn.jp/vu/JVNVU95381465/index.html

Change Log

No	Changed Details	Date of change
3	[2024年08月28日] ベンダ情報：参考情報 (JVNVU#95381465) の更新に伴い内容を更新影響を受けるシステム：内容を更新	Aug. 28, 2024, 3:22 p.m.
4	[2024年11月27日] 影響を受けるシステム：内容を更新	Nov. 27, 2024, 11:55 a.m.
5	[2026年05月15日] 影響を受けるシステム：内容を更新ベンダ情報：内容を更新	May 14, 2026, 6:43 p.m.
1	[2024年03月27日] 掲載	March 27, 2024, 12:18 p.m.
2	[2024年05月29日] タイトル：内容を更新概要：内容を更新影響を受けるシステム：内容を更新	May 29, 2024, 10:46 a.m.

NVD Vulnerability Information

CVE-2024-25568

Summary	OS command injection vulnerability in ELECOM wireless LAN routers allows a network-adjacent unauthenticated attacker to execute arbitrary OS commands by sending a specially crafted request to the product. Affected products and versions are as follows: WRC-X3200GST3-B v1.25 and earlier, WRC-G01-W v1.24 and earlier, and WMC-X1800GST-B v1.41 and earlier. Note that WMC-X1800GST-B is also included in e-Mesh Starter Kit "WMC-2LX-B".
Publication Date	April 4, 2024, 9:15 a.m.
Registration Date	April 4, 2024, 4 p.m.
Last Update	Nov. 21, 2024, 6:01 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://jvn.jp/en/vu/JVNVU95381465/
2	https://jvn.jp/en/vu/JVNVU95381465/
3	https://www.elecom.co.jp/news/security/20240326-01/
4	https://www.elecom.co.jp/news/security/20240326-01/

Common Vulnerabilities List

CVE-2024-26258

Summary	OS command injection vulnerability in ELECOM wireless LAN routers allows a network-adjacent attacker with credentials to execute arbitrary OS commands by sending a specially crafted request to the product.
Publication Date	April 4, 2024, 9:15 a.m.
Registration Date	April 4, 2024, 4 p.m.
Last Update	Nov. 21, 2024, 6:02 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://jvn.jp/en/vu/JVNVU95381465/
2	https://jvn.jp/en/vu/JVNVU95381465/
3	https://www.elecom.co.jp/news/security/20240326-01/
4	https://www.elecom.co.jp/news/security/20240326-01/

Common Vulnerabilities List

CVE-2024-29225

Summary	WRC-X3200GST3-B v1.25 and earlier, and WRC-G01-W v1.24 and earlier allow a network-adjacent unauthenticated attacker to obtain the configuration file containing sensitive information by sending a specially crafted request.
Publication Date	April 4, 2024, 9:15 a.m.
Registration Date	April 4, 2024, 4 p.m.
Last Update	Nov. 21, 2024, 6:07 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://jvn.jp/en/vu/JVNVU95381465/
2	https://jvn.jp/en/vu/JVNVU95381465/
3	https://www.elecom.co.jp/news/security/20240326-01/
4	https://www.elecom.co.jp/news/security/20240326-01/

Common Vulnerabilities List