製品・ソフトウェアに関する情報

JVN脆弱性詳細

エレコム無線LAN関連製品における複数の脆弱性

タイトル	エレコム無線LAN関連製品における複数の脆弱性
概要	エレコム株式会社が提供する無線LAN関連製品には、次の複数の脆弱性が存在します。<ul><li>クロスサイトリクエストフォージェリ（CWE-352）- CVE-2026-20704</li><li>OSコマンドインジェクション（CWE-78）- CVE-2026-22550</li><li>脆弱な認証情報の使用（CWE-1391）- CVE-2026-24449</li><li>スタックベースのバッファオーバーフロー（CWE-121）- CVE-2026-24465</li></ul> CVE-2026-20704、CVE-2026-22550 これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。報告者：GMOサイバーセキュリティ byイエラエ株式会社石井健太郎氏 CVE-2026-24449 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。報告者：佐藤壮氏 CVE-2026-24465 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。報告者：株式会社ラック飯田雅裕氏
想定される影響	想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。<ul><li>当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる（CVE-2026-20704）</li><li>当該製品にログインした状態のユーザによって任意のOSコマンドを実行される（CVE-2026-22550）</li><li>当該製品の情報から、初期パスワードを特定される（CVE-2026-24449）</li><li>細工されたパケットを処理することで、任意のコードを実行される（CVE-2026-24465）</li></ul>
対策	[ファームウェアをアップデートし適切な設定を行う、あるいは製品の使用を停止する] サポート期間中のモデルについては、ファームウェアの更新が提供されています。開発者が提供する情報をもとに、最新版へアップデートしてください。 WAB-S733IW-PDおよびWAB-S300IW-PDのサポートは既に終了しているため、製品の使用を停止してください。ファームウェアをアップデートした後、管理ページへのアクセスやWi-Fi接続のためのパスワードを推測の難しい堅牢なパスワードに変更してください。
公表日	2026年2月3日0:00
登録日	2026年2月3日14:15
最終更新日	2026年2月3日14:15

CVSS3.0 : 緊急
スコア	9.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

エレコム株式会社

WAB-S300IW-AC v5.5.00およびそれ以前のバージョン(CVE-2026-24465)

WAB-S300IW-PD すべてのバージョン(CVE-2026-24465)

WAB-S300IW2-PD v5.5.00およびそれ以前のバージョン(CVE-2026-24465)

WAB-S733IW-AC v5.5.00およびそれ以前のバージョン(CVE-2026-24465)

WAB-S733IW-PD すべてのバージョン(CVE-2026-24465)

WAB-S733IW2-PD v5.5.00およびそれ以前のバージョン(CVE-2026-24465)

WRC-X1500GS-B v1.12およびそれ以前のバージョン(CVE-2026-20704、CVE-2026-22550)

WRC-X1500GS-B すべてのバージョン(CVE-2026-24449)

WRC-X1500GSA-B v1.12およびそれ以前のバージョン(CVE-2026-20704、CVE-2026-22550)

WRC-X1500GSA-B すべてのバージョン(CVE-2026-24449)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-20704	https://www.cve.org/CVERecord?id=CVE-2026-20704
2	CVE-2026-22550	https://www.cve.org/CVERecord?id=CVE-2026-22550
3	CVE-2026-24449	https://www.cve.org/CVERecord?id=CVE-2026-24449
4	CVE-2026-24465	https://www.cve.org/CVERecord?id=CVE-2026-24465

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html
2	CWE-78	https://jvndb.jvn.jp/ja/cwe/CWE-78.html
3	CWE-Other	https://www.ipa.go.jp/security/vuln/scap/cwe.html

ベンダー情報

No	名前	URL
JVN
1	エレコム株式会社からの情報	https://jvn.jp/jp/JVN94012927/995441/index.html
エレコム株式会社
2	セキュリティ情報（リリース・お知らせ）	https://www.elecom.co.jp/news/security/

その他

No	名前	URL
JVN
1	JVN#94012927	https://jvn.jp/jp/JVN94012927/index.html

変更履歴

No	変更内容	変更日
1	[2026年02月03日] 掲載	2026年1月30日17:44

NVD脆弱性情報

CVE-2026-22550

概要	OS command injection vulnerability exists in WRC-X1500GS-B and WRC-X1500GSA-B. A crafted request from a logged-in user may lead to an arbitrary OS command execution.
概要	Existe una vulnerabilidad de inyección de comandos del sistema operativo en WRC-X1500GS-B y WRC-X1500GSA-B. Una solicitud manipulada de un usuario autenticado puede conducir a la ejecución arbitraria de comandos del sistema operativo.
公表日	2026年2月3日16:16
登録日	2026年4月15日11:19
最終更新日	2026年4月10日23:35

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:elecom:wrc-x1500gsa-b_firmware::::::::		1.13
cpe:2.3:o:elecom:wrc-x1500gs-b_firmware::::::::		1.13

構成2		以上	以下	より上	未満

No	URL	refsource	タグ
1	https://jvn.jp/en/jp/JVN94012927/	vultures@jpcert.or.jp
2	https://www.elecom.co.jp/news/security/20260203-01/	vultures@jpcert.or.jp

No	URL	refsource	タグ
1	https://jvn.jp/en/jp/JVN94012927/	vultures@jpcert.or.jp
2	https://www.elecom.co.jp/news/security/20260203-01/	vultures@jpcert.or.jp

構成1	以上	以下	より上	未満
cpe:2.3:o:elecom:wab-s300iw-pd_firmware::::::::
cpe:2.3:o:elecom:wab-s733iw-pd_firmware::::::::
cpe:2.3:o:elecom:wrc-x1500gsa-b_firmware::::::::				1.13
cpe:2.3:o:elecom:wrc-x1500gs-b_firmware::::::::				1.13
cpe:2.3:o:elecom:wab-s300iw2-pd_firmware::::::::				5.5.02
cpe:2.3:o:elecom:wab-s300iw-ac_firmware::::::::				5.5.02
cpe:2.3:o:elecom:wab-s733iw2-pd_firmware::::::::				5.5.02
cpe:2.3:o:elecom:wab-s733iw-ac_firmware::::::::				5.5.02

No	URL	refsource
1	https://jvn.jp/en/jp/JVN94012927/	vultures@jpcert.or.jp
2	https://www.elecom.co.jp/news/security/20260203-01/	vultures@jpcert.or.jp
3	https://www.elecom.co.jp/news/security/20260203-02/	vultures@jpcert.or.jp

概要	For WRC-X1500GS-B and WRC-X1500GSA-B, the initial passwords can be calculated easily from the system information.
概要	Para WRC-X1500GS-B y WRC-X1500GSA-B, las contraseñas iniciales se pueden calcular fácilmente a partir de la información del sistema.
公表日	2026年2月3日16:16
登録日	2026年4月15日11:19
最終更新日	2026年4月10日23:51

概要	Stack-based buffer overflow vulnerability exists in ELECOM wireless LAN access point devices. A crafted packet may lead to arbitrary code execution.
概要	Vulnerabilidad de desbordamiento de búfer basado en pila existe en dispositivos de punto de acceso LAN inalámbrica ELECOM. Un paquete manipulado puede conducir a ejecución de código arbitrario.
公表日	2026年2月3日16:16
登録日	2026年4月15日11:19
最終更新日	2026年4月14日21:59