| タイトル | エレコム無線LAN関連製品における複数の脆弱性 |
|---|---|
| 概要 | エレコム株式会社が提供する無線LAN関連製品には、次の複数の脆弱性が存在します。<ul><li>クロスサイトリクエストフォージェリ(CWE-352)- CVE-2026-20704</li><li>OSコマンドインジェクション(CWE-78)- CVE-2026-22550</li><li>脆弱な認証情報の使用(CWE-1391)- CVE-2026-24449</li><li>スタックベースのバッファオーバーフロー(CWE-121)- CVE-2026-24465</li></ul> CVE-2026-20704、CVE-2026-22550 これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 CVE-2026-24449 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:佐藤 壮 氏 CVE-2026-24465 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ラック 飯田 雅裕 氏 |
| 想定される影響 | 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。<ul><li>当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる(CVE-2026-20704)</li><li>当該製品にログインした状態のユーザによって任意のOSコマンドを実行される(CVE-2026-22550)</li><li>当該製品の情報から、初期パスワードを特定される(CVE-2026-24449)</li><li>細工されたパケットを処理することで、任意のコードを実行される(CVE-2026-24465)</li></ul> |
| 対策 | [ファームウェアをアップデートし適切な設定を行う、あるいは製品の使用を停止する] サポート期間中のモデルについては、ファームウェアの更新が提供されています。 開発者が提供する情報をもとに、最新版へアップデートしてください。 WAB-S733IW-PDおよびWAB-S300IW-PDのサポートは既に終了しているため、製品の使用を停止してください。 ファームウェアをアップデートした後、管理ページへのアクセスやWi-Fi接続のためのパスワードを推測の難しい堅牢なパスワードに変更してください。 |
| 公表日 | 2026年2月3日0:00 |
| 登録日 | 2026年2月3日14:15 |
| 最終更新日 | 2026年2月3日14:15 |
| CVSS3.0 : 緊急 | |
| スコア | 9.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| エレコム株式会社 |
| WAB-S300IW-AC v5.5.00およびそれ以前のバージョン(CVE-2026-24465) |
| WAB-S300IW-PD すべてのバージョン(CVE-2026-24465) |
| WAB-S300IW2-PD v5.5.00およびそれ以前のバージョン(CVE-2026-24465) |
| WAB-S733IW-AC v5.5.00およびそれ以前のバージョン(CVE-2026-24465) |
| WAB-S733IW-PD すべてのバージョン(CVE-2026-24465) |
| WAB-S733IW2-PD v5.5.00およびそれ以前のバージョン(CVE-2026-24465) |
| WRC-X1500GS-B v1.12およびそれ以前のバージョン(CVE-2026-20704、CVE-2026-22550) |
| WRC-X1500GS-B すべてのバージョン(CVE-2026-24449) |
| WRC-X1500GSA-B v1.12およびそれ以前のバージョン(CVE-2026-20704、CVE-2026-22550) |
| WRC-X1500GSA-B すべてのバージョン(CVE-2026-24449) |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年02月03日] 掲載 |
2026年1月30日17:44 |